WithSecure advarer i en ny sikkerhedsbriefing om en sårbarhed i Microsoft Office 365 Message Encryption (OME). OME bruges til at sende krypterede e-mails og anvender implementeringen af Electronic Codebook (ECB), der er kendt for at lække specifikke strukturelle oplysninger om e-mails.
Får cyberkriminelle fat i tilstrækkeligt mange OME-e-mails, kan de bruge lækkede oplysninger til helt eller delvist at udlede indholdet af e-mails. Det gør de ved at analysere placeringen og hyppigheden af mønstre i de enkelte e-mails og derefter matche mønstrene med dem, der findes i andre OME-e-mails og -filer.
Hackere kan bruge de lækkede ECB-informationer til at blotlægge krypteret indhold. Jo flere e-mails en hacker får adgang til, jo nemmere og mere præcis bliver processen. Cyberkriminelle kan udføre denne type angreb efter at have fået fingrene i e-mailarkiver, evt. stjålet under et databrud, eller ved at påtvinge sig adgang til personlige e-mailkonti, e-mailservere eller sikkerhedskopier.
Harry Sintonen, konsulent og sikkerhedsforsker hos WithSecure
Ifølge sikkerhedsbriefingen kan analysen foretages offline. Det giver hackere mulighed for at kompromittere backlogs eller arkiver af tidligere e-mails. Desværre har virksomheder ingen mulighed for at forhindre en hacker i at kompromittere e-mailindholdet ved hjælp af den metode, der er beskrevet i Harry Sintonens briefing.
Det bliver i sikkerhedsbriefingen også understreget, at der ikke er behov for kendskab til krypteringsnøglerne for at foretage analysen, og at brugen af en BYOK-løsning (Bring Your Own Key) ikke afhjælper sårbarheden.
Sårbarhed stadig ikke lukket
Harry Sintonen delte sin forskning med Microsoft i januar 2022, og Microsoft betalte Harry Sintonen via virksomhedens dusørprogrammer. Microsoft valgte dog ikke at patche sårbarheden. Og selvom virksomheder kan afhjælpe problemet ved ikke at bruge funktionen, fjerner det ikke risikoen for, at cyberkriminelle får adgang til eksisterende e-mails krypteret med OME.
Enhver virksomhed med medarbejdere, som har brugt OME til at kryptere e-mails, kan i princippet blive påvirket af sårbarheden – for eksempel kan sårbarheden skabe udfordringer for virksomheder med fortrolighedskrav indskrevet i kontrakter. Spørgsmålet er selvfølgelig, hvilke konsekvenser det kan have, hvis den slags bliver stjålet, og det gør sårbarheden til en væsentlig bekymring for virksomhederne.
Harry Sintonen, konsulent og sikkerhedsforsker hos WithSecure
Da der hverken findes en løsning fra Microsoft, eller en mere sikker driftsform til rådighed for e-mail-administratorer eller brugere, anbefaler WithSecure at undgå brugen af OME som et middel til at sikre fortroligheden af e-mails.
Læs mere om sårbarheden her.