Hay una falla en la forma en que Microsoft maneja los correos electrónicos seguros (se abre en una pestaña nueva) enviado a través de Microsoft Office 365, afirmó un investigador de seguridad.
Según lo informado por ComputerWeeklycon una muestra lo suficientemente grande, un actor de amenazas aparentemente podría abusar de la laguna para descifrar el contenido de los correos electrónicos cifrados.
Sin embargo, Microsoft ha minimizado la importancia de los hallazgos, diciendo que en realidad no es una falla. Por el momento, la empresa no tiene intención de poner en marcha una remediación.
Más correos electrónicos, descubrimiento más fácil
La falla fue descubierta por el investigador de seguridad Harry Sintonen de WithSecure (anteriormente F-Secure) en Office 365 Message Encryption (OME).
Las organizaciones suelen utilizar OME cuando buscan enviar correos electrónicos cifrados, tanto interna como externamente. Pero dado el hecho de que OME encripta cada bloque de cifrado individualmente, y con bloques repetitivos del mensaje correspondientes a los mismos bloques de texto cifrado cada vez, un actor de amenazas teóricamente puede revelar detalles sobre la estructura del mensaje.
Esto, afirma Sintonen, significa que un actor de amenazas potencial con una muestra lo suficientemente grande de correos electrónicos de OME podría deducir el contenido de los mensajes. Todo lo que tendrían que hacer es analizar la ubicación y la frecuencia de los patrones repetidos en cada mensaje y relacionarlos con otros mensajes.
“Más correos electrónicos hacen que este proceso sea más fácil y preciso, por lo que es algo que los atacantes pueden realizar después de que les roben los archivos de correo electrónico durante una violación de datos, o al ingresar a la cuenta de correo electrónico de alguien, al servidor de correo electrónico o al obtener acceso a las copias de seguridad”, dijo Sintonen.
Si un actor de amenazas obtiene archivos de correo electrónico robados durante una violación de datos, eso significa que podría analizar los patrones fuera de línea, simplificando aún más el trabajo. Eso también dejaría obsoletas las prácticas de Bring Your Own Encryption/Key (BYOE/K).
Desafortunadamente, si un actor de amenazas tiene en sus manos estos correos electrónicos, realmente no hay mucho que las empresas puedan hacer.
Aparentemente, el investigador informó el problema a Microsoft a principios de este año, pero fue en vano. En una declaración proporcionada a WithSecure, Microsoft dijo que el informe “no se consideró que cumplía con los requisitos para el servicio de seguridad, ni se considera una violación. No se realizó ningún cambio de código, por lo que no se emitió CVE para este informe».
Vía ComputerWeekly (se abre en una pestaña nueva)