Sårbarhed i Microsoft Office 365 Message Encryption kan afsløre e-mailindhold for hackere

Hackere kan få adgang til fortrolige informationer i e-mails. Det viser en ny sikkerhedsbriefing fra sikkerhedsvirksomheden, WithSecure. Sårbarheden er ikke patchet, selvom den udgør en risiko for, at virksomheder får kompromitteret deres e-mails

WithSecure advarer i en ny sikkerhedsbriefing om en sårbarhed i Microsoft Office 365 Message Encryption (OME). OME bruges til at sende krypterede e-mails og anvender implementeringen af Electronic Codebook (ECB), der er kendt for at lække specifikke strukturelle oplysninger om e-mails.

Får cyberkriminelle fat i tilstrækkeligt mange OME-e-mails, kan de bruge lækkede oplysninger til helt eller delvist at udlede indholdet af e-mails. Det gør de ved at analysere placeringen og hyppigheden af mønstre i de enkelte e-mails og derefter matche mønstrene med dem, der findes i andre OME-e-mails og -filer.

Hackere kan bruge de lækkede ECB-informationer til at blotlægge krypteret indhold. Jo flere e-mails en hacker får adgang til, jo nemmere og mere præcis bliver processen. Cyberkriminelle kan udføre denne type angreb efter at have fået fingrene i e-mailarkiver, evt. stjålet under et databrud, eller ved at påtvinge sig adgang til personlige e-mailkonti, e-mailservere eller sikkerhedskopier.

Harry Sintonen, konsulent og sikkerhedsforsker hos WithSecure

Ifølge sikkerhedsbriefingen kan analysen foretages offline. Det giver hackere mulighed for at kompromittere backlogs eller arkiver af tidligere e-mails. Desværre har virksomheder ingen mulighed for at forhindre en hacker i at kompromittere e-mailindholdet ved hjælp af den metode, der er beskrevet i Harry Sintonens briefing.

Det bliver i sikkerhedsbriefingen også understreget, at der ikke er behov for kendskab til krypteringsnøglerne for at foretage analysen, og at brugen af en BYOK-løsning (Bring Your Own Key) ikke afhjælper sårbarheden.

Sårbarhed stadig ikke lukket

Harry Sintonen delte sin forskning med Microsoft i januar 2022, og Microsoft betalte Harry Sintonen via virksomhedens dusørprogrammer. Microsoft valgte dog ikke at patche sårbarheden. Og selvom virksomheder kan afhjælpe problemet ved ikke at bruge funktionen, fjerner det ikke risikoen for, at cyberkriminelle får adgang til eksisterende e-mails krypteret med OME.

Enhver virksomhed med medarbejdere, som har brugt OME til at kryptere e-mails, kan i princippet blive påvirket af sårbarheden – for eksempel kan sårbarheden skabe udfordringer for virksomheder med fortrolighedskrav indskrevet i kontrakter. Spørgsmålet er selvfølgelig, hvilke konsekvenser det kan have, hvis den slags bliver stjålet, og det gør sårbarheden til en væsentlig bekymring for virksomhederne.

Harry Sintonen, konsulent og sikkerhedsforsker hos WithSecure

Da der hverken findes en løsning fra Microsoft, eller en mere sikker driftsform til rådighed for e-mail-administratorer eller brugere, anbefaler WithSecure at undgå brugen af OME som et middel til at sikre fortroligheden af e-mails.

Læs mere om sårbarheden her

About Lars Bennetzen 3824 Articles
Lars Bennetzen har været it- og gadget-journalist siden 1992, og arbejdet som redaktør på PC World, Ingeniøren, Jern- og Maskinindustrien, Procesteknik og Ugens Erhverv. I 2006 blev Lars Chefredaktør på Alt om DATA, og bestyrede det gode gamle it-blad gennem de næste 6 år. I 2012 blev Lars selvstændig og stiftede firmaet Blackbelt Communications og i 2015 startede han Tech-Test. Lars fungerer også som kommunikationskonsulent, taler, moderator og gadgetekspert.