Gli attaccanti possono sfruttare la falla, per cui non è disponibile alcuna patch, per ottenere informazioni che potrebbero portare ad una divulgazione parziale o completa delle informazioni.
Milano, Italia – 21 ottobre 2022: WithSecure™ (precedentemente nota come F-Secure Business) ha pubblicato un avviso di sicurezza che avverte le organizzazioni di una falla nella crittografia dei messaggi di Microsoft Office 365 (OME).
OME, utilizzata dalle organizzazioni per inviare email crittografate internamente ed esternamente, utilizza l'implementazione dell'Electronic Codebook (ECB), una modalità di funzionamento nota per la perdita di alcune informazioni strutturali sui messaggi.
Gli attaccanti in grado di ottenere un numero sufficiente di email OME potrebbero utilizzare le informazioni trapelate per dedurre parzialmente o completamente il contenuto dei messaggi, analizzando la posizione e la frequenza degli schemi ripetuti nei singoli messaggi e quindi abbinando questi schemi a quelli trovati in altre email e file OME.
“Gli attaccanti che riescono a mettere le mani su più messaggi possono utilizzare le informazioni BCE trapelate per carpire il contenuto crittografato. Con un numero maggiore di email questo processo diventa più semplice e accurato, quindi è un'operazione che gli attaccanti possono eseguire dopo essere riusciti ad accedere ad archivi di email rubati durante un data breach, oppure introducendosi nell'account di posta elettronica di qualcuno, nel server di posta elettronica o ottenendo l'accesso ai backup", spiega Harry Sintonen, consulente e ricercatore di sicurezza di WithSecure™, che ha scoperto il problema.
Secondo l'avviso, l'analisi può essere effettuata offline, il che significa che un attaccante potrebbe compromettere gli arretrati o gli archivi di messaggi precedenti. Purtroppo, le organizzazioni non hanno modo di impedire ad un attaccante che entri in possesso delle email interessate di comprometterne il contenuto utilizzando il metodo descritto nell'avviso di Sintonen.
L'avviso sottolinea inoltre che non è necessario conoscere le chiavi di crittografia per condurre l'analisi e che l'uso di uno schema BYOK (Bring Your Own Key) non risolve il problema.
Sintonen ha condiviso la sua ricerca con Microsoft nel gennaio 2022. Pur riconoscendo il problema e pagando Sintonen tramite il programma di ricompensa per le vulnerabilità, Microsoft ha scelto di non rilasciare una correzione. Sebbene le aziende possano mitigare il problema semplicemente non utilizzando la funzione, ciò non risolve il rischio che gli attaccanti accedano alle email esistenti crittografate con OME.
“Tutte le organizzazioni con personale che utilizzava OME per crittografare le email sono sostanzialmente bloccate da questo problema. Per alcune, come quelle che hanno requisiti di riservatezza nei contratti o nelle normative locali, questo potrebbe creare qualche criticità. E poi, naturalmente, ci sono le domande sull'impatto che questi dati potrebbero avere nel caso in cui venissero effettivamente rubati, il che lo rende una preoccupazione significativa per le organizzazioni", afferma Sintonen.
Poiché non esiste una soluzione da parte di Microsoft o una modalità di funzionamento più sicura a disposizione degli amministratori o degli utenti di posta elettronica, WithSecure™ raccomanda di evitare l'uso di OME come mezzo per garantire la riservatezza delle email.
L’avviso completo è disponibile su WithSecure Labs: https://labs.withsecure.com/advisories/microsoft-office-365-message-encryption-insecure-mode-of-operation.html.
Informazioni su WithSecure™
WithSecure™, precedentemente F-Secure Business, è il partner di riferimento per la cyber security. Provider di servizi IT, MSSP e aziende, insieme alle più importanti istituzioni finanziarie, imprese manifatturiere e migliaia di fornitori dei più avanzati sistemi di comunicazione e tecnologie nel mondo si affidano a noi per conseguire una cyber security basata sui risultati, che protegge e consente le loro operazioni.
La nostra protezione guidata dall’IA mette al sicuro gli endpoint e la collaborazione su cloud, il nostro sistema di intelligent detection and response è alimentato da esperti che identificano i rischi aziendali tramite threat hunting proattivo e affrontando gli attacchi in tempo reale. I nostri consulenti collaborano con imprese e tech challenger per costruire la resilienza attraverso una consulenza sulla sicurezza basata su prove concrete. Con oltre 30 anni di esperienza nella creazione di tecnologie che soddisfano gli obiettivi aziendali, abbiamo disegnato il nostro portafoglio per crescere con i nostri partner attraverso modelli commerciali flessibili.
Fondata nel 1988, WithSecure™ Corporation è quotata sul listino NASDAQ OMX Helsinki Ltd.