WithSecure warnt vor Schwachstelle in Microsoft Office 365 Message Encryption

WithSecure (früher bekannt als F-Secure Business) hat heute ein Security Advisory veröffentlicht, das vor einer Schwachstelle in Microsoft Office 365 Message Encryption (OME) warnt. OME wird zum Versenden von verschlüsselten E-Mails verwendet und nutzt Electronic Codebook (ECB) – ein Betriebsmodus, von dem bekannt ist, dass bestimmte strukturelle Informationen über Nachrichten offengelegt werden.

Wenn Angreifer Zugang zu einer ausreichenden Anzahl von E-Mails mit OME haben, können sie die durchgesickerten Informationen nutzen, um teilweise oder vollständig auf den Inhalt der Nachrichten zu schließen, indem sie die Häufigkeit sich wiederholender Muster in einzelnen Nachrichten analysieren und diese Muster dann mit denen in anderen verschlüsselten E-Mails und Dateien abgleichen.

„Das Problem wird mit der zunehmenden Anzahl der E-Mails größer. Je mehr verschlüsselte E-Mails abfangen werden können, desto einfacher und präziser können Angreifer eins und eins zusammenzählen und letztlich den Nachrichteninhalt entschlüsseln.“, sagt Harry Sintonen, Sicherheitsforscher bei WithSecure, der das Problem entdeckt hat.

Sintonen erklärt, dass ein Angreifer die Backlogs oder Archivbestände von früheren Nachrichten offline analysieren sowie kompromittieren könnte und dass Unternehmen nichts in der Hand hätten, um dies zu verhindern. Im Advisory weist Sintonen darauf hin, dass zur Durchführung der Analyse keine Kenntnis der Verschlüsselungsschlüssel erforderlich ist und dass die Verwendung eines Bring Your Own Keys (BYOK) das Problem auch nicht löse.

Im Januar 2022 teilte Sintonen seine Forschungsergebnisse Microsoft mit. Microsoft erkannte das Problem zwar an und entschädigte Sintonen im Rahmen ihres Belohnungsprogramms für Schwachstellen, entschied sich aber gegen eine Behebung. Unternehmen können das Problem zwar dadurch entschärfen, dass sie die Funktion nicht verwenden, aber das Risiko, dass Angreifer auf mit OME verschlüsselte E-Mails zugreifen, wird dadurch nicht beseitigt.

„Jedes Unternehmen mit Mitarbeitern, die OME zur Verschlüsselung von E-Mails verwenden, ist im Grunde genommen mit diesem Problem konfrontiert. Für einige Unternehmen, die beispielsweise Vertraulichkeitsanforderungen in Verträgen oder örtliche Vorschriften haben, könnte dies zu Problemen führen. Außerdem stellt sich natürlich die Frage, welche Auswirkungen diese Daten haben könnten, falls sie tatsächlich gestohlen werden, was für Unternehmen ein großes Problem darstellt“, so Sintonen.

Da es weder eine Problembehebung von Microsoft noch einen sichereren Betriebsmodus für E-Mail-Administratoren oder -Benutzer gibt, empfiehlt WithSecure, die Verwendung von OME als Methode zur Gewährleistung der Vertraulichkeit von E-Mails zu vermeiden.

Das vollständige Advisory ist auf WithSecure Labs verfügbar: https://labs.withsecure.com/advisories/microsoft-office-365-message-encryption-insecure-mode-of-operation