Ошибка в Microsoft Office 365 позволяет получить доступ к содержимому сообщений » mogilew.by
 

Ошибка в Microsoft Office 365 позволяет получить доступ к содержимому сообщений

WithSecure Microsoft Microsoft Office Office 365 электронная почта AES шифрование Office 365 Message Encryption ECB
Шифрование сообщений электронной почты Microsoft оказалось ненадежным.
Ошибка в Microsoft Office 365 позволяет получить доступ к содержимому сообщений

Исследователи из ИБ-компании WithSecure
обнаружили ошибку
в механизме шифрования сообщений в Microsoft Office 365, которая может позволить получить доступ к содержимому сообщения.
Эксперты отметили, что В криптографии шифрование — процесс кодирования информации или конфиденциальных данных таким образом, чтобы доступ к ним могли получить только авторизованные стороны.
"
data-html="true" data-original-title="Шифрование"
>шифрование
сообщений Office 365 (Office 365 Message Encryption, OME) основано на режиме работы Electronic Code Book (ECB), который считается небезопасным и может раскрывать структуру отправляемых сообщений, что может привести к частичному или полному раскрытию сообщения.
Метод OME используется для отправки и получения зашифрованных сообщений электронной почты, и уязвимость может позволить злоумышленникам расшифровать содержимое зашифрованных сообщений электронной почты.

Изображения, извлеченные из зашифрованного электронного письма Office 365
Эксперты объяснили, что поскольку зашифрованные сообщения отправляются как обычные вложения электронной почты, они могут храниться в различных почтовых системах и могут быть перехвачены любой стороной между отправителем и получателем. Киберпреступник с большой базой данных сообщений может сделать вывод об их содержании (или его частях), анализируя относительное расположение повторяющихся частей перехваченных сообщений.
Эксперты продемонстрировали, как использовать уязвимость, извлекая изображение из электронной почты, защищенной шифрованием сообщений Office 365. Несмотря на то, что сообщение было зашифровано с помощью Advanced Encryption Standard (AES) — это симметричный блочный шифр , выбранный правительством США для защиты секретной информации.
AES внедряется в программное и аппаратное обеспечение по всему миру для шифрования конфиденциальных данных. Он используется для государственной компьютерной безопасности, кибербезопасности и защиты электронных данных."
data-html="true" data-original-title="AES"
>AES
-шифрования, использование режима ECB раскрыло содержание сообщения.
Согласно WithSecure, атака может быть выполнена в автономном режиме для любых зашифрованных сообщений. Это означает, что эксплуатация проблемы может позволить злоумышленникам расшифровать уже отправленные сообщения.
Компания WithSecure сообщила о своих выводах в Microsoft, но корпорация ответила, что проблема не считается взломом. По словам Microsoft, ошибка не относится к системе безопасности и не считается нарушением. Никаких изменений кода не производилось, поэтому для уязвимости не было выпущено CVE.
Эксперты WithSecure заключили, что конечный пользователь не имеет возможности обеспечить более безопасный режим работы. Поскольку у Microsoft нет планов по устранению этой уязвимости, единственное решение — избегать использования шифрования сообщений Microsoft Office 365.
Кроме того, организациям, использующим OME, следует избегать использования его в качестве единственного метода конфиденциальности электронной почты, пока Microsoft не выпустит исправление.

SECURITYLAB.RU
рейтинг: 
  • Не нравится
  • +543
  • Нравится
ПОДЕЛИТЬСЯ:

ОСТАВИТЬ КОММЕНТАРИЙ
иконка
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Новости