Microsoft Office 365 -viestien salauksessa ilmennyt haavoittuvuus voi paljastaa sähköpostiviestien sisällön hyökkääjille

Hyökkääjät voivat hankkia tietoja hyödyntämällä haavoittuvuutta, johon ei ole saatavilla olevaa korjausta, minkä seurauksena tiedot voivat paljastua kokonaan tai osittain.

Helsinki – 14.10.2022: WithSecure™ (aiemmin F-Secure yritystietoturva) julkaisi tänään tietoturvavaroituksen, joka varoittaa organisaatioita Microsoft Office 365 -viestien salausta (Microsoft Office 365 Message Encryption, OME) koskevasta tietoturva-aukosta.

Organisaatiot käyttävät OME-salausta salattujen sähköpostiviestien lähettämiseen sisäisessä ja ulkoisessa viestinnässä. OME-salaus hyödyntää Electronic Codebook (ECB) -menetelmää, jonka tiedetään vuotavan tiettyjä viestien rakennetta koskevia tietoja.

Hyökkääjät, jotka onnistuvat hankkimaan riittävästi OME-salausta hyödyntäviä sähköposteja, voivat käyttää vuotaneita tietoja päätelläkseen viestien sisällön kokonaan tai osittain. Tämä onnistuu analysoimalla yksittäisissä viesteissä toistuvien kaavojen sijaintia ja esiintymistaajuutta ja vertaamalla sitten näitä kaavoja muissa OME-sähköposteissa ja -tiedostoissa esiintyviin kaavoihin.

”Useita viestejä haltuunsa saaneet hyökkääjät voivat käyttää vuotaneita ECB-tietoja salatun sisällön selvittämiseen. Mitä enemmän sähköposteja he saavat, sitä helpompi ja tarkempi tämä prosessi on. Hyökkääjät voivat siis hyödyntää tätä prosessia päästyään käsiksi tietomurron yhteydessä varastettuihin sähköpostiarkistoihin, murtautumalla jonkun henkilön sähköpostitilille tai -palvelimelle tai saatuaan haltuunsa varmuuskopioita”, kertoo haavoittuvuuden löytänyt Harry Sintonen, joka toimii WithSecure™:n konsulttina ja tietoturvatutkijana.

Hyökkäysmenetelmä mahdollistaa aiemmin haltuun saatujen salattujen viestien purkamisen.  Valitettavasti organisaatioilla ei ole mitään keinoja estää eikä havaita haavoittuvuuden piiriin kuuluvia sähköposteja haltuunsa saanutta hyökkääjää paljastamasta viestien sisältöä Sintosen varoituksessa kuvatun menetelmän avulla.

Lisäksi varoituksessa korostetaan, ettei analyysi edellytä mitään salausavaimiin liittyviä tietoja, eikä Bring Your Own Key (BYOK) -menetelmän käyttö korjaa ongelmaa.

Sintonen jakoi tutkimuksensa tulokset Microsoftille tammikuussa 2022. Vaikka Microsoft tunnusti ongelman olemassaolon ja maksoi Sintoselle palkkion Microsoftin haavoittuvuuksia koskevan palkkio-ohjelman puitteissa, yhtiö päätti olla korjaamatta ongelmaa. Organisaatiot voivat lieventää ongelman vaikutusta olemalla yksinkertaisesti käyttämättä kyseistä ominaisuutta, mutta tämä ei kuitenkaan poista sitä riskiä, että hyökkääjät voivat saada haltuunsa jo olemassa olevia OME-salattuja sähköposteja.

”Kaikki organisaatiot, joiden henkilöstö on käyttänyt OME-ominaisuutta sähköpostien salaamiseen, ovat käytännössä jumissa tämän ongelman kanssa. Tämä voi aiheuttaa lisää ongelmia joillekin organisaatioille – esimerkiksi sellaisille, joita sitovat sopimuksiin tai paikallisiin määräyksiin sisällytetty salassapitovelvollisuus. Lisää pohdittavaa aiheuttaa myös se, millaisia vaikutuksia salassa pidettävien tietojen päätyminen varkaiden käsiin aiheuttaisi. Tästä syystä tämä on merkittävä huolenaihe organisaatioille”, Sintonen sanoo.

Koska Microsoft ei ole korjannut ongelmaa, eikä sähköpostipalvelun järjestelmänvalvojien ja käyttäjien saatavilla ole turvallisempaa salausmenetelmää, WithSecure™ suosittelee välttämään OME-salauksen käyttämistä sähköpostiviestin luottamuksellisuuden varmistamiseen.

Englanninkielinen tietoturvavaroitus on luettavissa kokonaisuudessaan WithSecure Labs -sivustolla: https://labs.withsecure.com/advisories/microsoft-office-365-message-encryption-insecure-mode-of-operation.html

Median yhteyshenkilö
Adam Pilkey
+358406378859