Es gibt einen Fehler in der Art und Weise, wie Microsoft mit sicheren E-Mails umgeht (öffnet in neuem Tab) über Microsoft Office 365 gesendet, hat ein Sicherheitsforscher behauptet.
Wie von berichtet ComputerWocheMit einer ausreichend großen Stichprobe könnte ein Angreifer offenbar die Lücke missbrauchen, um den Inhalt verschlüsselter E-Mails zu entschlüsseln.
Microsoft hat die Bedeutung der Ergebnisse jedoch heruntergespielt und erklärt, es handele sich nicht wirklich um einen Fehler. Das Unternehmen hat vorerst nicht die Absicht, eine Sanierung vorzunehmen.
Mehr E-Mails, einfacheres Auffinden
Der Fehler wurde vom Sicherheitsforscher Harry Sintonen von WithSecure (ehemals F-Secure) in Office 365 Message Encryption (OME) entdeckt.
Organisationen verwenden normalerweise OME, wenn sie versuchen, verschlüsselte E-Mails sowohl intern als auch extern zu senden. Aber angesichts der Tatsache, dass OME jeden Verschlüsselungsblock einzeln verschlüsselt und mit sich wiederholenden Nachrichtenblöcken, die jedes Mal denselben Verschlüsselungstextblöcken entsprechen, kann ein Angreifer theoretisch Details über die Struktur der Nachricht preisgeben.
Dies, so Sintonen weiter, bedeute, dass ein potenzieller Bedrohungsakteur mit einer ausreichend großen Stichprobe von OME-E-Mails den Inhalt der Nachrichten ableiten könnte. Alles, was sie tun müssen, ist, die Position und Häufigkeit sich wiederholender Muster in jeder Nachricht zu analysieren und sie mit anderen Nachrichten abzugleichen.
„Mehr E-Mails machen diesen Prozess einfacher und genauer, sodass Angreifer dies tun können, nachdem sie E-Mail-Archive in die Hände bekommen haben, die während einer Datenpanne gestohlen wurden, oder indem sie in jemandes E-Mail-Konto, E-Mail-Server oder Zugriff auf Backups einbrechen“, sagte Sintonen.
Wenn ein Angreifer E-Mail-Archive erhält, die während einer Datenpanne gestohlen wurden, bedeutet dies, dass er die Muster offline analysieren kann, was die Arbeit weiter vereinfacht. Das würde auch Bring Your Own Encryption/Key (BYOE/K)-Praktiken überflüssig machen.
Wenn ein Angreifer diese E-Mails in die Hände bekommt, können Unternehmen leider nicht viel tun.
Offenbar hat der Forscher das Problem Anfang dieses Jahres vergeblich an Microsoft gemeldet. In einer gegenüber WithSecure bereitgestellten Erklärung sagte Microsoft, dass der Bericht „nicht als Erfüllung der Messlatte für Sicherheitsdienste angesehen wird und auch nicht als Verletzung angesehen wird. Es wurde keine Codeänderung vorgenommen und daher wurde für diesen Bericht kein CVE ausgegeben.”
Über ComputerWoche (öffnet in neuem Tab)