ConSeguro (anteriormente F-Secure Business) Los investigadores afirman que el contenido de los mensajes cifrados enviados a través de Microsoft Office 365 puede revelarse parcial o completamente debido al uso de un cifrado de bloque débil.
Aunque los expertos recibieron una recompensa de errores por su descubrimiento, no se espera ninguna solución para este problema, y Microsoft ha afirmado que no lo consideran una vulnerabilidad.
Permítanme recordarles que también escribimos que el La lista de peores contraseñas sigue siendo “123456”., y también eso Los algoritmos de cifrado para redes 2G se han debilitado intencionalmente.
El ConSeguro Informe explica que las organizaciones utilizan cifrado de mensajes en Office 365 para enviar y recibir correo electrónico (tanto externa como interna) para mantener el contenido privado. Sin embargo, esta característica cifra los datos usando Libro de códigos electrónicos (BCE) modo, que permite leer el mensaje bajo ciertas condiciones.
El principal problema del BCE es que al utilizar la misma clave, la repetición de áreas de datos de texto sin formato termina produciendo el mismo resultado de cifrado, lo que crea un cierto patrón.
Este problema se manifestó por primera vez en 2013, cuando se filtraron decenas de millones de contraseñas Adobe, e investigadores descubierto que la empresa utilizó el 3DESDE cifrado de bloques simétrico en el libro de códigos electrónicos (BCE) modo para cifrar datos, y esto permitió convertir todas las contraseñas a formato de texto plano. En 2020, una vulnerabilidad similar (CVE-2020-11500) fue encontrado en la aplicación de videoconferencia Zoom.
Como explica ahora WithSecure, “gracias” al uso del BCE, el contenido de Office cifrado 365 los mensajes no se pueden descifrar directamente, pero se puede obtener información estructural sobre estos mensajes. Eso es, un atacante que logra reunir varios mensajes cifrados puede detectar patrones que pueden hacer que partes de los mensajes se vuelvan legibles gradualmente sin utilizar la clave de cifrado.
De este modo, una gran base de datos de mensajes permite sacar conclusiones sobre todo el contenido de la carta o solo partes de ella, mirando la posición relativa de secciones repetidas. Para demostrar el potencial de tal ataque, Expertos mostraron el contenido de una imagen extraída de un Office cifrado 365 mensaje.
Los analistas destacan que el ataque se puede llevar a cabo sin conexión y utilizar cualquier enviado previamente., mensajes cifrados recibidos o interceptados, y no hay forma de que las organizaciones impidan el análisis de mensajes ya enviados.
Pero lo más interesante es que los analistas de WithSecure notificaron a Microsoft sobre este problema en enero. 2022 y recibió un $5,000 recompensa por errores de la empresa. Sin embargo, no se lanzaron parches después de eso.
Los especialistas "recordaron" repetidamente a los desarrolladores sobre la vulnerabilidad y trataron de averiguar en qué etapa se resolvió el problema., pero al final, Microsoft informó a WithSecure que este problema no se consideraba una vulnerabilidad en absoluto y, por lo tanto, no habria arreglo para ello, y no habría ningún identificador CVE.
Ahora que los expertos de WithSecure han hecho público el tema, Microsoft ha explicado a los medios que la empresa todavía utiliza ECB debido a su soporte para aplicaciones heredadas. Al mismo tiempo, la empresa está trabajando para agregar un protocolo de cifrado alternativo a futuras versiones del producto.
Después de eso, Los especialistas de WithSecure informaron que si no se esperan correcciones, entonces la única forma de protegerse es negarse a utilizar Microsoft Office 365 cifrado de mensajes en absoluto.
