Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy
Cliccando sul tasto "Accetto" acconsenti all’uso dei cookie. Accetto

NEWS ALIAS

21 Ottobre 2022
Bookmark and Share

[WITHSECURE] Scoperta falla dai ricercatori WithSecure nella crittografia dei messaggi di Office365

 

Con Sicuro    
 


Una falla nella crittografia dei messaggi in Microsoft Office 365 potrebbe esporre i contenuti delle email agli attaccanti

 Comunicato stampa  |  21 ottobre 2022
Gli attaccanti possono sfruttare la falla, per cui non è disponibile alcuna patch, per ottenere informazioni che potrebbero portare ad una divulgazione parziale o completa delle informazioni.

Milano, Italia – 21 ottobre 2022WithSecure™ (precedentemente nota come F-Secure Business) ha pubblicato un avviso di sicurezza che avverte le organizzazioni di una falla nella crittografia dei messaggi di Microsoft Office 365 (OME). 

OME, utilizzata dalle organizzazioni per inviare email crittografate internamente ed esternamente, utilizza l'implementazione dell'Electronic Codebook (ECB), una modalità di funzionamento nota per la perdita di alcune informazioni strutturali sui messaggi.

Gli attaccanti in grado di ottenere un numero sufficiente di email OME potrebbero utilizzare le informazioni trapelate per dedurre parzialmente o completamente il contenuto dei messaggi, analizzando la posizione e la frequenza degli schemi ripetuti nei singoli messaggi e quindi abbinando questi schemi a quelli trovati in altre email e file OME.

“Gli attaccanti che riescono a mettere le mani su più messaggi possono utilizzare le informazioni BCE trapelate per carpire il contenuto crittografato. Con un numero maggiore di email questo processo diventa più semplice e accurato, quindi è un'operazione che gli attaccanti possono eseguire dopo essere riusciti ad accedere ad archivi di email rubati durante un data breach, oppure introducendosi nell'account di posta elettronica di qualcuno, nel server di posta elettronica o ottenendo l'accesso ai backup", spiega Harry Sintonen, consulente e ricercatore di sicurezza di WithSecure™, che ha scoperto il problema.

Secondo l'avviso, l'analisi può essere effettuata offline, il che significa che un attaccante potrebbe compromettere gli arretrati o gli archivi di messaggi precedenti. Purtroppo, le organizzazioni non hanno modo di impedire ad un attaccante che entri in possesso delle email interessate di comprometterne il contenuto utilizzando il metodo descritto nell'avviso di Sintonen.

L'avviso sottolinea inoltre che non è necessario conoscere le chiavi di crittografia per condurre l'analisi e che l'uso di uno schema BYOK (Bring Your Own Key) non risolve il problema.

Sintonen ha condiviso la sua ricerca con Microsoft nel gennaio 2022. Pur riconoscendo il problema e pagando Sintonen tramite il programma di ricompensa per le vulnerabilità, Microsoft ha scelto di non rilasciare una correzione. Sebbene le aziende possano mitigare il problema semplicemente non utilizzando la funzione, ciò non risolve il rischio che gli attaccanti accedano alle email esistenti crittografate con OME.

“Tutte le organizzazioni con personale che utilizzava OME per crittografare le email sono sostanzialmente bloccate da questo problema. Per alcune, come quelle che hanno requisiti di riservatezza nei contratti o nelle normative locali, questo potrebbe creare qualche criticità. E poi, naturalmente, ci sono le domande sull'impatto che questi dati potrebbero avere nel caso in cui venissero effettivamente rubati, il che lo rende una preoccupazione significativa per le organizzazioni", afferma Sintonen.

Poiché non esiste una soluzione da parte di Microsoft o una modalità di funzionamento più sicura a disposizione degli amministratori o degli utenti di posta elettronica, WithSecure™ raccomanda di evitare l'uso di OME come mezzo per garantire la riservatezza delle email.

L’avviso completo è disponibile su WithSecure Labs: https://labs.withsecure.com/advisories/microsoft-office-365-message-encryption-insecure-mode-of-operation.html.

 
 
 
 
fonte: https://www.withsecure.com/it/whats-new/pressroom/falla-crittografia-messaggi-microsoft-office-365
Bookmark and Share
© Alias S.r.l. 2022. Tutti i diritti riservati. Sede Legale: Via San Francesco, 2 - 33100 Udine
Capitale sociale Euro 62.400,00 i.v., C.F. / P.IVA 01837180304, Iscrizione C.C.I.A.A. Registro Imprese di UDINE n. 01837180304
Privacy Policy  |  Cookie Policy


© project Web Industry