Die Office-Suite von Microsoft erfreut sich großer Beliebtheit und besonders in Unternehmen wird Office 365 häufig eingesetzt. Jetzt haben Sicherheitsforscher herausgefunden, dass es Hackern möglich ist, das Verschlüsselungsverfahren der Software zu umgehen. Das Schlimmste daran: per Patch ist die Schwachstelle wohl nicht zu beheben, wie auch Venture Beat berichtet.
Das Problem stecke laut einem Sicherheitsforscher von WithSecure in der Microsoft Office 365 Message Encryption (OEM). Das Entschlüsselungsverfahren OEM verwendet die Blockchiffre Elecronic Codebook (ECB), die strukturelle Informationen über die Nachrichten preisgibt. Wenn Angreifer nun Zugriff zu vielen E-Mails erhalten, können diese per Abgleich und Analyse der Position und Häufigkeit von Mustern auf die Inhalte der Nachtrichten schließen.
Für Unternehmen würde das bedeuten: E-Mails, auch wenn diese verschlüsselt sind, sind nicht zu 100 Prozent vor Angreifern geschützt. Wenn jemand Zugriff auf E-Mail-Archive oder Backups erhält und auf E-Mail-Server Zugriff hat, kann er diese Technik nutzen, um die Verschlüsselung zu umgehen. Einzelne abgefangene E-Mails wären dagegen weiterhin sicher.
Gefahr für Unternehmen, Journalisten und Aktivisten
Der Aufwand und die Rekonstruktion der abgefangenen E-Mails ist zwar hoch und für viele Kriminelle wohl auch nicht erstrebenswert. Im Falle von Wirtschaftsspionage oder Ähnlichem sieht die Sache jedoch unter Umständen anders aus.
Hinsichtlich des Risikos, das diese Schwachstelle darstellt, erklärte der leitende Sicherheitsberater von WithSecure, dass besonders gefährdete Benutzer “diejenigen sind, die OME zur Verschlüsselung hochsensibler E-Mails und Anhänge verwenden und für die es wichtig ist, die Offenlegung von Quellen (oder Kommunikationspartnern im Allgemeinen) zu vermeiden. Ein gutes Beispiel wären Aktivisten oder Journalisten”.
Wenn beispielsweise ein Journalist ein hochsensibles Dokument an einen Kontakt sendet, könnte ein staatlich unterstützter Bedrohungsakteur einen Fingerabdruck dafür erstellen, andere verschlüsselte E-Mails scannen und feststellen, an wen die Zielperson das Dokument gesendet hat.
Schwachstelle besteht bereits seit Januar
WithSecure teilte seine Entdeckung der Sicherheitslücke in Office 365 ursprünglich im Januar 2022 mit Microsoft. Microsoft erkannte die Schwachstelle an und bezahlte den Forscher im Rahmen seines Belohnungsprogramms, hat aber bis zum jetzigen Zeitpunkt noch keine Lösung veröffentlicht.
Security