image

Securitybedrijf: Microsoft Office 365-encryptie kan inhoud berichten lekken

vrijdag 14 oktober 2022, 14:10 door Redactie, 1 reacties

Een methode die in Microsoft 365 wordt gebruikt voor het versleutelen van berichten kan de inhoud daarvan lekken, zo stelt securitybedrijf WithSecure. Het bedrijf meldde het probleem met de berichtversleuteling bij Microsoft en kreeg hiervoor een beloning van vijfduizend dollar. De kwetsbaarheid komt echter niet in aanmerking voor een beveiligingsupdate, aldus het techbedrijf.

De Microsoft Office 365 Message Encryption (OME) laat gebruikers versleutelde e-mails ontvangen en versturen. Voor de versleuteling wordt gebruik gemaakt van de Electronic Codebook (ECB) mode. Volgens WithSecure is ECB onveilig en kan het informatie over de structuur van verstuurde berichten lekken, wat weer kan leiden tot het gedeeltelijk of volledig lekken van de berichtinhoud. Een aanvaller zou wel eerst toegang tot een groot aantal versleutelde berichten moeten krijgen.

Het probleem met de Electronic Codebook (ECB) mode is dat het versleutelen van hetzelfde block van plaintext data altijd hetzelfde versleutelde resultaat oplevert. Hoewel de inhoud van de versleutelde data niet direct zichtbaar is, geldt dat wel voor informatie over de structuur van het bericht. Aan de hand van deze patronen is het mogelijk om de inhoud van versleutelde berichten deels of gedeeltelijk te achterhalen, aldus de onderzoekers.

De problemen met ECB zijn niet nieuw. In 2013 bleek dat Adobe van ECB gebruikmaakte voor de opslag van wachtwoorden, wat voor de nodige kritiek zorgde nadat het softwarebedrijf gegevens van 150 miljoen gebruikers had gelekt, waaronder inloggegevens. Eerder had ook het Europees agentschap voor netwerk- en informatiebeveiliging (ENISA) organisaties voor ECB gewaarschuwd.

WithSecure meldde het probleem begin dit jaar bij Microsoft. Een week later ontving het securitybedrijf een beloning van 5000 dollar voor de bugmelding. In augustus en september liet Microsoft echter weten dat de kwetsbaarheid niet in aanmerking komt om te worden verholpen met een beveiligingsupdate. Aangezien er geen oplossing beschikbaar is adviseert het securitybedrijf om de Microsoft Office 365 berichtversleuteling niet te gebruiken.

Reacties (1)
15-10-2022, 13:13 door Anoniem
"In augustus en september liet Microsoft echter weten dat de kwetsbaarheid niet in aanmerking komt om te worden verholpen met een beveiligingsupdate."
Waarschijnlijk omdat OME verouderd is en klanten moeten overstappen op Purview. Ik vind echter zogauw niets terug over de gebruikte encryptie van Purview.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.