Een fout in de encryptie van Office zorgt ervoor dat aanvallers versleutelde documenten binnen minuten kunnen kraken. Het is al sinds 2005 bekend dat een implementatiefout de beveiliging van Office ondermijnt, maar tot nu toe was er geen tool die hier misbruik van maakte. Dat verklaart mogelijk waarom Microsoft nooit het probleem heeft opgelost voor oudere Office versies. Tijdens de Black Hat Europe conferentie onthulde de Franse beveiligingsexpert Eric Filiol een tool die documenten binnen minuten kan ontsleutelen.
Geheim
Al sinds 1994 is de Fransman hiermee bezig, maar mag pas nu zijn werk openbaar maken. "Ik werkte destijds voor het Franse leger. Alles wat ik deed was geheim. Nu mag ik erover praten", zo liet hij tegen het Duitse Heise weten. Het probleem met de zwakke RC4 encryptie speelt Alleen bij Office 2003 en oudere versies. Sinds Office 2007 gebruikt Microsoft de veel sterkere AES encryptie. Toch zijn nog veel oude Office versies bij zowel thuisgebruikers als bedrijven in gebruik.
De software van Filiol hoeft alleen naar een reserve kopie, die Office automatisch in versleutelde vorm genereert wanneer een bestand is geopend, te vergelijken met het origineel. Of Microsoft het probleem oplost is onbekend. De softwaregigant was niet van tevoren door de Fransman gewaarschuwd, die niet van plan is zijn tool beschikbaar voor het publiek te maken. Dat geldt niet voor zijn presentatie, die wel online staat.
Deze posting is gelocked. Reageren is niet meer mogelijk.