EL CIFRADO DE MENSAJES (OME) UTILIZADO POR OFFICE 365 SE PUEDE ROMPER FÁCILMENTE PARA LEER CORREOS CIFRADOS

Según los investigadores, la vulnerabilidad de seguridad se puede explotar para inferir el contenido de los mensajes debido al método de seguridad defectuoso de Office 365 Message Encryption (OME).

La firma finlandesa de ciberseguridad WithSecure ha emitido un aviso sobre una vulnerabilidad de seguridad identificada en el mecanismo de cifrado de mensajes utilizado por Microsoft en Office 365 .

Según el análisis de WithSecure, esta vulnerabilidad se produjo porque Microsoft utiliza el modo de confidencialidad de cifrado en bloque Electronic Cookbook/ECB, definido por el NIST (Instituto Nacional de Ciencia y Tecnología) de EE. UU.

Sin embargo este modo tiene vulnerabilidades y esto ya ha sido probado. Pero el problema es que su reemplazo no podrá ser lanzado antes de 2023.

¿Cómo se puede explotar la vulnerabilidad?

El aviso de WithSecure reveló que la vulnerabilidad de seguridad de Microsoft 365 podría explotarse para inferir el contenido de los mensajes debido al método de seguridad defectuoso de Office 365 Message Encryption (OME).

Este método se utiliza para enviar/recibir mensajes de correo electrónico cifrados entre usuarios internos/externos sin revelar nada sobre su comunicación.

La vulnerabilidad puede permitir el acceso a terceros, y pueden descifrar correos electrónicos encriptados, exponiendo así las comunicaciones confidenciales de los usuarios. Dado que ECB filtra la información estructural de los mensajes, esto provoca la pérdida de confidencialidad.

Durante su análisis , WithSecure pudo recuperar el contenido de una imagen, que estaba cifrada con AES. Los investigadores notaron que AES no tiene vulnerabilidades porque el modo ECB es el verdadero problema.

Dos imágenes que los investigadores lograron extraer de un correo electrónico protegido con Office 365 Message Encryption

Respuesta de Microsoft

WithSecure compartió que cuando notificó a Microsoft, la empresa respondió que el informe no cumplía con el criterio de servicio de seguridad y no se clasifica como una infracción.


“Se consideró que el informe no cumplía con los requisitos para el servicio de seguridad, ni se considera una violación. No se realizó ningún cambio de código, por lo que no se emitió CVE para este informe”.

microsoft

Si bien WithSecure ha demostrado que existe un riesgo de explotación, también se refirió a la declaración del NIST , donde la agencia afirmó que el modo ECB tenía vulnerabilidades.

Sin embargo, los usuarios deben ser cautelosos, y las organizaciones que usan OME para el cifrado de correo electrónico deben evitar usarlo como el único método de confidencialidad del correo electrónico hasta que Microsoft publique una solución o haya una mejor opción disponible.