В том, как Microsoft обрабатывает защищенную электронную почту, есть изъян (откроется в новой вкладке) отправлено через Microsoft Office 365, утверждает исследователь безопасности.
Как сообщает КомпьютерЕженедельнопри достаточно большой выборке злоумышленник мог бы, по-видимому, воспользоваться лазейкой, чтобы расшифровать содержимое зашифрованных электронных писем.
Тем не менее, Microsoft преуменьшает важность результатов, говоря, что на самом деле это не недостаток. В настоящее время компания не намерена вводить исправления.
Больше электронных писем, более легкое обнаружение
Уязвимость была обнаружена исследователем безопасности Гарри Синтоненом из WithSecure (ранее F-Secure) в шифровании сообщений Office 365 (OME).
Организации обычно используют OME при отправке зашифрованных электронных писем как внутри компании, так и за ее пределами. Но учитывая тот факт, что OME шифрует каждый блок шифра по отдельности, а повторяющиеся блоки сообщения каждый раз соответствуют одним и тем же блокам зашифрованного текста, злоумышленник теоретически может раскрыть подробности о структуре сообщения.
Это, как утверждает Синтонен, означает, что потенциальный субъект угрозы с достаточно большой выборкой электронных писем OME может сделать вывод о содержании сообщений. Все, что им нужно сделать, это проанализировать расположение и частоту повторяющихся шаблонов в каждом сообщении и сопоставить их с другими сообщениями.
«Больше электронных писем делают этот процесс проще и точнее, поэтому злоумышленники могут это сделать, получив в свои руки архивы электронной почты, украденные во время утечки данных, взломав чью-то учетную запись электронной почты, почтовый сервер или получив доступ к резервным копиям», — сказал Синтонен.
Если злоумышленник получает архивы электронной почты, украденные во время утечки данных, это означает, что он сможет анализировать шаблоны в автономном режиме, что еще больше упрощает работу. Это также сделало бы практику использования собственного шифрования/ключа (BYOE/K) устаревшей.
К сожалению, если злоумышленники получат доступ к этим электронным письмам, бизнес мало что сможет сделать.
Судя по всему, исследователь сообщил о проблеме в Microsoft в начале этого года, но безрезультатно. В заявлении, предоставленном WithSecure, Microsoft заявила, что отчет «не считается соответствующим планке для обслуживания безопасности и не считается нарушением. Никаких изменений в коде не было, поэтому для этого отчета не было выпущено CVE».
С помощью КомпьютерЕженедельно (откроется в новой вкладке)
