Шифрование сообщений электронной почты Microsoft оказалось ненадежным.
Исследователи из ИБ-компании WithSecure обнаружили ошибку в механизме шифрования сообщений в Microsoft Office 365, которая может позволить получить доступ к содержимому сообщения.
Эксперты отметили, что шифрование сообщений Office 365 (Office 365 Message Encryption, OME) основано на режиме работы Electronic Code Book (ECB), который считается небезопасным и может раскрывать структуру отправляемых сообщений, что может привести к частичному или полному раскрытию сообщения.
Метод OME используется для отправки и получения зашифрованных сообщений электронной почты, и уязвимость может позволить злоумышленникам расшифровать содержимое зашифрованных сообщений электронной почты.
Изображения, извлеченные из зашифрованного электронного письма Office 365
Эксперты объяснили, что поскольку зашифрованные сообщения отправляются как обычные вложения электронной почты, они могут храниться в различных почтовых системах и могут быть перехвачены любой стороной между отправителем и получателем. Киберпреступник с большой базой данных сообщений может сделать вывод об их содержании (или его частях), анализируя относительное расположение повторяющихся частей перехваченных сообщений.
Эксперты продемонстрировали, как использовать уязвимость, извлекая изображение из электронной почты, защищенной шифрованием сообщений Office 365. Несмотря на то, что сообщение было зашифровано с помощью AES-шифрования, использование режима ECB раскрыло содержание сообщения.
Согласно WithSecure, атака может быть выполнена в автономном режиме для любых зашифрованных сообщений. Это означает, что эксплуатация проблемы может позволить злоумышленникам расшифровать уже отправленные сообщения.
Компания WithSecure сообщила о своих выводах в Microsoft, но корпорация ответила, что проблема не считается взломом. По словам Microsoft, ошибка не относится к системе безопасности и не считается нарушением. Никаких изменений кода не производилось, поэтому для уязвимости не было выпущено CVE.
Эксперты WithSecure заключили, что конечный пользователь не имеет возможности обеспечить более безопасный режим работы. Поскольку у Microsoft нет планов по устранению этой уязвимости, единственное решение — избегать использования шифрования сообщений Microsoft Office 365.
Кроме того, организациям, использующим OME, следует избегать использования его в качестве единственного метода конфиденциальности электронной почты, пока Microsoft не выпустит исправление.
Никаких овечек — только отборные научные факты