WithSecure (precedentemente nota come F-Secure Business) ha pubblicato un avviso di sicurezza che avverte le organizzazioni di una falla nella crittografia dei messaggi di Microsoft Office 365 (OME). OME, utilizzata dalle organizzazioni per inviare email crittografate internamente ed esternamente, utilizza l'implementazione dell'Electronic Codebook (ECB), una modalità di funzionamento nota per la perdita di alcune informazioni strutturali sui messaggi.
Gli attaccanti in grado di ottenere un numero sufficiente di email OME potrebbero utilizzare le informazioni trapelate per dedurre parzialmente o completamente il contenuto dei messaggi, analizzando la posizione e la frequenza degli schemi ripetuti nei singoli messaggi e quindi abbinando questi schemi a quelli trovati in altre email e file OME.
“Gli attaccanti che riescono a mettere le mani su più messaggi possono utilizzare le informazioni BCE trapelate per carpire il contenuto crittografato. Con un numero maggiore di email questo processo diventa più semplice e accurato, quindi è un'operazione che gli attaccanti possono eseguire dopo essere riusciti ad accedere ad archivi di email rubati durante un data breach, oppure introducendosi nell'account di posta elettronica di qualcuno, nel server di posta elettronica o ottenendo l'accesso ai backup", spiega Harry Sintonen, consulente e ricercatore di sicurezza di WithSecure, che ha scoperto il problema.
Secondo l'avviso, l'analisi può essere effettuata offline, il che significa che un attaccante potrebbe compromettere gli arretrati o gli archivi di messaggi precedenti. Purtroppo, le organizzazioni non hanno modo di impedire ad un attaccante che entri in possesso delle email interessate di comprometterne il contenuto utilizzando il metodo descritto nell'avviso di Sintonen.
L'avviso sottolinea inoltre che non è necessario conoscere le chiavi di crittografia per condurre l'analisi e che l'uso di uno schema BYOK (Bring Your Own Key) non risolve il problema.
Sintonen ha condiviso la sua ricerca con Microsoft nel gennaio 2022. Pur riconoscendo il problema e pagando Sintonen tramite il programma di ricompensa per le vulnerabilità, Microsoft ha scelto di non rilasciare una correzione. Sebbene le aziende possano mitigare il problema semplicemente non utilizzando la funzione, ciò non risolve il rischio che gli attaccanti accedano alle email esistenti crittografate con OME.
“Tutte le organizzazioni con personale che utilizzava OME per crittografare le email sono sostanzialmente bloccate da questo problema. Per alcune, come quelle che hanno requisiti di riservatezza nei contratti o nelle normative locali, questo potrebbe creare qualche criticità. E poi, naturalmente, ci sono le domande sull'impatto che questi dati potrebbero avere nel caso in cui venissero effettivamente rubati, il che lo rende una preoccupazione significativa per le organizzazioni", afferma Sintonen.
Poiché non esiste una soluzione da parte di Microsoft o una modalità di funzionamento più sicura a disposizione degli amministratori o degli utenti di posta elettronica, WithSecure raccomanda di evitare l'uso di OME come mezzo per garantire la riservatezza delle email.
L’avviso completo è disponibile su WithSecure Labs, a questa pagina.