WithSecure warnt vor Schwachstelle in Microsoft Office 365 Message Encryption

PRESSEMITTEILUNG | 14. Oktober 2022

WithSecure warnt vor Schwachstelle in Microsoft Office 365 Message Encryption

WithSecure (früher bekannt als F-Secure Business) hat heute ein Security Advisory veröffentlicht, das vor einer Schwachstelle in Microsoft Office 365 Message Encryption (OME) warnt. OME wird zum Versenden von verschlüsselten E-Mails verwendet und nutzt Electronic Codebook (ECB) – ein Betriebsmodus, von dem bekannt ist, dass bestimmte strukturelle Informationen über Nachrichten offengelegt werden.

Wenn Angreifer Zugang zu einer ausreichenden Anzahl von E-Mails mit OME haben, können sie die durchgesickerten Informationen nutzen, um teilweise oder vollständig auf den Inhalt der Nachrichten zu schließen, indem sie die Häufigkeit sich wiederholender Muster in einzelnen Nachrichten analysieren und diese Muster dann mit denen in anderen verschlüsselten E-Mails und Dateien abgleichen.

„Das Problem wird mit der zunehmenden Anzahl der E-Mails größer. Je mehr verschlüsselte E-Mails abfangen werden können, desto einfacher und präziser können Angreifer eins und eins zusammenzählen und letztlich den Nachrichteninhalt entschlüsseln“, sagt Harry Sintonen, Sicherheitsforscher bei WithSecure, der das Problem entdeckt hat.

Harry Sintonen, Sicherheitsforscher bei WithSecure

Sintonen erklärt, dass ein Angreifer die Backlogs oder Archivbestände von früheren Nachrichten offline analysieren sowie kompromittieren könnte und dass Unternehmen nichts in der Hand hätten, um dies zu verhindern. Im Advisory weist Sintonen darauf hin, dass zur Durchführung der Analyse keine Kenntnis der Verschlüsselungsschlüssel erforderlich ist und dass die Verwendung eines Bring Your Own Keys (BYOK) das Problem auch nicht löse.

Im Januar 2022 teilte Sintonen seine Forschungsergebnisse Microsoft mit. Microsoft erkannte das Problem zwar an und entschädigte Sintonen im Rahmen ihres Belohnungsprogramms für Schwachstellen, entschied sich aber gegen eine Behebung. Unternehmen können das Problem zwar dadurch entschärfen, dass sie die Funktion nicht verwenden, aber das Risiko, dass Angreifer auf mit OME verschlüsselte E-Mails zugreifen, wird dadurch nicht beseitigt.

„Jedes Unternehmen mit Mitarbeitern, die OME zur Verschlüsselung von E-Mails verwenden, ist im Grunde genommen mit diesem Problem konfrontiert. Für einige Unternehmen, die beispielsweise Vertraulichkeitsanforderungen in Verträgen oder örtliche Vorschriften haben, könnte dies zu Problemen führen. Außerdem stellt sich natürlich die Frage, welche Auswirkungen diese Daten haben könnten, falls sie tatsächlich gestohlen werden, was für Unternehmen ein großes Problem darstellt“, so Sintonen.

Da es weder eine Problembehebung von Microsoft noch einen sichereren Betriebsmodus für E-Mail-Administratoren oder -Benutzer gibt, empfiehlt WithSecure, die Verwendung von OME als Methode zur Gewährleistung der Vertraulichkeit von E-Mails zu vermeiden.

Das vollständige Advisory ist auf WithSecure Labs verfügbar: https://labs.withsecure.com/advisories/microsoft-office-365-message-encryption-insecure-mode-of-operation

WithSecure™ Pressekontakt
Berk Kutsal
Tel.: +491795474353
E-Mail: berk.kutsal@withsecure.com

Über WithSecure

WithSecure, ehemals F-Secure Business, ist der zuverlässige Partner für Cybersicherheit. IT-Dienstleister, Managed Security Services Provider und andere Unternehmen vertrauen WithSecure – wie auch große Finanzinstitute, Industrieunternehmen und führende Kommunikations- und Technologieanbieter. Mit seinem ergebnisorientierten Ansatz der Cybersicherheit hilft der finnische Sicherheitsanbieter Unternehmen dabei, die Sicherheit in Relation zu den Betriebsabläufen zu setzen und Prozesse zu sichern sowie Betriebsunterbrechungen vorzubeugen.

WithSecure nennt diesen Ansatz „Outcome-based Cyber Security“. KI-gesteuerte Sicherheitsmaßnahmen sichern Endpoints und die Zusammenarbeit in der Cloud mit intelligenten Erkennungs- und Reaktionsmechanismen. Die Detection & Response-Experten von WithSecure identifizieren Geschäftsrisiken, indem sie proaktiv nach Bedrohungen suchen und bereits laufende Angriffe abwehren – dabei arbeiten sie eng mit Instituten, großen Unternehmen und innovativen Tech-Firmen zusammen. Sie haben mehr als 30 Jahre Erfahrung in der Entwicklung von Technologien, die sich an den Bedürfnissen der Unternehmen orientieren. Das Portfolio von WithSecure eröffnet durch flexible Vertriebsmodelle die Möglichkeit, gemeinsam mit Partnern zu wachsen.

Die WithSecure Corporation ist 1988 gegründet und an der NASDAQ OMX Helsinki Ltd. gelistet.