研究人员在 Microsoft 365 中发现了他们所谓的漏洞,该漏洞与使用损坏或有风险的加密算法有关。他们警告说,它可以被用来推断加密电子邮件的部分或全部内容——但微软拒绝解决这个问题。
第三方研究人员告诉 Dark Reading,该问题的现实风险取决于组织的概况。
有缺陷的加密方法
Microsoft 365(以前称为 Office 365)提供了一种使用电子密码本 (ECB) 发送加密消息(Office 365 消息加密或 OME)的方法,这是一种已知的用于公开有关消息的某些结构信息的操作模式。
WithSecure 首席安全顾问 Harry Sintonen 在10 月 14 日的一篇帖子中写道,如果攻击者可以使用 OME 访问足够多的电子邮件,则可以通过分析单个邮件中重复模式的频率,然后将这些模式与其他邮件中的模式匹配来访问泄露的信息。加密的电子邮件和文件。
“这可能会影响任何使用 OME 的人,如果所讨论的附件具有使其能够以这种方式被破译的属性,”他告诉 Dark Reading。“当然,要使提取成为可能,攻击者首先需要访问实际的加密电子邮件。”
Sintonen 解释说,即使文件没有可以直接显示的更大结构,仍然有可能对文件进行指纹识别。
“如果一个文件有一些重复块,你可以从这些重复块的关系中构造一个指纹,”他说。“然后,您可以扫描加密电子邮件中的这些指纹。如果找到,您就知道该电子邮件包含特定文件。”
他补充说,还可以利用人工智能 (AI) 来查找类似的指纹,从而找到相关的内容,可能是一组类似文件的一部分。
微软:没有修复即将到来
2022 年 1 月,Sintonen 与微软分享了他的研究成果。微软承认了这个问题,并作为其漏洞奖励计划的一部分对 Sintonen 进行了补偿,但决定不修复它。
“该报告不被认为符合安全服务的标准,也不被认为是违规行为,”这家计算巨头回应道。“没有进行代码更改,因此没有为该报告发布 CVE。”
自动化物联网网络卫生提供商 Viakoo 的首席执行官 Bud Broomhead 表示,他认为微软选择不修复它要么意味着即将发布新的消息加密功能,要么需要“修复”完全重写此功能。
“这也可能是因为这个功能的使用率足够低或足够有限,以至于微软拒绝修复它,”他补充道。“即使微软拒绝解决这个问题,它至少应该删除或限制在 Office 365 中使用消息加密,直到用户可以获得更好的解决方案。”
事实上,公司可以通过不使用 OME 功能来缓解问题——但即使这样也不能完全消除风险。
“如果他们一直在使用 OME 加密并且这个问题被确定是一个问题,他们除了停止使用有问题的服务 - OME - 并用另一个安全的解决方案替换它之外别无其他办法,”Sintonen 说。
然而,这并不能弥补这样一个事实,即大量加密程度不高的电子邮件消息可能会在 Internet 的各个部分徘徊,并且可以被访问它们的参与者分析。
发件人、收件人有风险?
Broomhead 指出,多年来人们一直担心以前泄露的加密数据有朝一日可能会被解密和利用。
他说: “对于收集了大量加密Microsoft Office 365电子邮件的威胁参与者来说,那一天可能就是今天。”他补充说,他认为这显然是“一个严重程度很高的错误”。
“发送者和接收者都处于危险之中——尤其是对于组织外部的人来说,使用加密的愿望可能是为了保护贸易或其他组织机密,”布鲁姆黑德说。
也就是说,需要拥有大量加密电子邮件才能使用此漏洞缩小了受害者范围——根据定义,大型组织认为需要对大量电子邮件进行加密。而且,高度敏感的信息通常已经有了额外的数据保护层,Vulcan Cyber 的高级技术工程师 Mike Parkin 指出。
“那些需要真正安全的电子邮件的人可以使用其他选项,”帕金说。“例如,使用 GPG 加密并将加密消息作为附件发送。”
他说,因此,大多数商业用户不会受到这里数据泄漏程度的影响,除非他们习惯于通过 Microsoft 365 发送高度敏感和时间敏感的信息。
“这足以阻止大多数预期的威胁,但与资源充足的国家或国家支持的威胁参与者相比就不够了,”他说。“高价值的通信需要高度安全的加密算法和协议。在实践中,Office 365 中可用的加密对于大多数用户来说已经足够了。”
另一方面,Parkin 指出,人们可以依靠基本加密来保护他们的信息安全,而任何能让潜在威胁参与者深入了解安全通信的东西都是有问题的。
“理想情况下,加密流量不应该泄露任何关于消息内容的信息,而不仅仅是获得点对点所需的发送者和接收者信息,”他说。
