ComSeguro (anteriormente F-Secure Business) pesquisadores afirmam que o conteúdo das mensagens criptografadas enviadas pelo Microsoft Office 365 pode ser parcial ou totalmente divulgado devido ao uso de uma cifra de bloco fraca.
Embora os especialistas tenham recebido uma recompensa de insetos pela sua descoberta, nenhuma solução para este problema é esperada, e Microsoft declarou que não considera isso uma vulnerabilidade.
Deixe-me lembrá-lo que também escrevemos que o a lista das piores senhas ainda está no topo “123456”, e também isso Algoritmos de criptografia para redes 2G foram intencionalmente enfraquecidos.
O ComSeguro relatório explica que as organizações usam criptografia de mensagens no Office 365 para enviar e receber e-mail (tanto externo quanto interno) para manter o conteúdo privado. No entanto, esse recurso criptografa dados usando Livro de Código Eletrônico (BCE) modo, que permite que a mensagem seja lida sob certas condições.
O principal problema do BCE é que, ao usar a mesma chave, repetir áreas de dados de texto simples acaba produzindo o mesmo resultado de criptografia, que cria um certo padrão.
Este problema se manifestou pela primeira vez em 2013, quando dezenas de milhões de senhas vazaram de Adobe, e pesquisadores descoberto que a empresa usou o 3DO cifra de bloco simétrico no livro de código eletrônico (BCE) modo para criptografar dados, e isso permitiu converter todas as senhas para formato de texto simples. Em 2020, uma vulnerabilidade semelhante (CVE-2020-11500) foi encontrado no aplicativo de videoconferência Ampliação.
Como WithSecure explica agora, “graças” ao uso do BCE, o conteúdo do Office criptografado 365 as mensagens não podem ser descriptografadas diretamente, mas informações estruturais sobre essas mensagens podem ser obtidas. Aquilo é, um invasor que consegue montar várias mensagens criptografadas pode detectar padrões que podem fazer com que partes das mensagens se tornem gradualmente legíveis sem usar a chave de criptografia.
Por isso, um grande banco de dados de mensagens permite concluir sobre todo o conteúdo da carta ou apenas partes dela, olhando para a posição relativa de seções repetidas. Para demonstrar o potencial de tal ataque, especialistas mostraram o conteúdo de uma imagem extraída de um arquivo criptografado do Office 365 mensagem.
Analistas enfatizam que o ataque pode ser realizado offline e utilizar qualquer envio prévio, mensagens criptografadas recebidas ou interceptadas, e não há como as organizações impedirem a análise de mensagens já enviadas.
Mas o mais interessante é que os analistas da WithSecure notificaram a Microsoft sobre esse problema em janeiro. 2022 e recebeu um $5,000 recompensa de bug da empresa. No entanto, nenhum patch foi lançado depois disso.
Os especialistas repetidamente “lembraram” os desenvolvedores sobre a vulnerabilidade e tentaram descobrir em que estágio o problema foi resolvido, mas no final, A Microsoft informou ao WithSecure que este problema não era considerado uma vulnerabilidade e, portanto, não haveria soluções para isso, e não haveria identificador CVE.
Agora que os especialistas da WithSecure tornaram o problema público, Microsoft explicou à mídia que a empresa ainda usa o BCE devido ao seu suporte para aplicativos legados. Ao mesmo tempo, a empresa está trabalhando para adicionar um protocolo de criptografia alternativo a versões futuras do produto.
Depois disso, Os especialistas da WithSecure relataram que, se nenhuma correção for esperada, então a única maneira de proteger é recusar o uso do Microsoft Office 365 criptografia de mensagem em tudo.
