(https://i.postimg.cc/pTx50Fwg/Office-365.png) (https://postimages.org/)
Según los investigadores, la falla de seguridad se puede explotar para inferir el contenido de los mensajes debido al método de seguridad defectuoso de Office 365 Message Encryption (OME).
La firma finlandesa de ciberseguridad WithSecure ha emitido un aviso sobre una falla de seguridad identificada en el mecanismo de cifrado de mensajes utilizado por Microsoft en Office 365.
Según el análisis de WithSecure, este problema ocurrió porque Microsoft usa el modo de confidencialidad de cifrado de bloque Electronic Cookbook/ECB, definido por el NIST (Instituto Nacional de Ciencia y Tecnología) de EE. UU.
Sin embargo, este modo tiene fallas, y esto ya ha sido probado. Pero el problema es que su reemplazo no podrá ser lanzado antes de 2023.
¿Cómo se puede explotar la vulnerabilidad?
El aviso de WithSecure reveló que la falla de seguridad de Microsoft 365 podría explotarse para inferir el contenido de los mensajes debido al método de seguridad defectuoso de Office 365 Message Encryption (OME).
Este método se utiliza para enviar/recibir mensajes de correo electrónico cifrados entre usuarios internos/externos sin revelar nada sobre su comunicación.
La falla puede permitir el acceso a terceros deshonestos, y pueden descifrar correos electrónicos encriptados, exponiendo así las comunicaciones confidenciales de los usuarios. Dado que ECB filtra la información estructural de los mensajes, esto provoca la pérdida de confidencialidad.
Durante su análisis, WithSecure pudo recuperar el contenido de una imagen, que estaba cifrada con AES. Los investigadores notaron que AES no tiene fallas porque el modo ECB es el verdadero problema.
Respuesta de Microsoft
WithSecure compartió que cuando notificó a Microsoft, la empresa respondió que el informe no cumplía con el criterio de servicio de seguridad y no se clasifica como una infracción.
"Se consideró que el informe no cumplía con los requisitos para el servicio de seguridad, ni se considera una violación. No se realizó ningún cambio de código, por lo que no se emitió CVE para este informe". Microsoft
Si bien WithSecure ha demostrado que existe un riesgo de explotación, también se refirió a la declaración del NIST, donde la agencia afirmó que el modo ECB tenía fallas.
Esta comparación puede revelar datos repetidos en mensajes como bloques de firmas o información repetitiva, y los atacantes pueden mapear fácilmente la estructura del mensaje. Por lo tanto, sorprende que Microsoft no lo considere un problema real.
Sin embargo, los usuarios deben ser cautelosos, y las organizaciones que usan OME para el cifrado de correo electrónico deben evitar usarlo como el único método de confidencialidad del correo electrónico hasta que Microsoft publique una solución o haya una mejor opción disponible.
Fuente:
Hack Read
https://www.hackread.com/office-365-encryption-flaw-message-confidentiality/