Los investigadores de seguridad de WithSecure, la compañía anteriormente conocida como F-Secure, han publicado detalles de una vulnerabilidad potencialmente peligrosa en Microsoft Office 365 Message Encryption (OME) que podría exponer el contenido de los correos electrónicos de los usuarios a un actor de amenazas si no se mitiga.
Las organizaciones utilizan OME para enviar correos electrónicos cifrados tanto interna como externamente. Utiliza la implementación de encriptación Electronic Codebook (ECB), pero según el consultor e investigador de seguridad de WithSecure, Harry Sintonen, este modo de operación filtra cierta información estructural sobre los mensajes.
Esto se debe a que encripta cada bloque de cifrado individualmente con bloques repetitivos del mensaje de texto claro que se asignan a los mismos bloques de texto cifrado cada vez, lo que significa que si bien el texto claro real no se puede revelar directamente, la información sobre la estructura del mensaje puede ser.
El resultado de esto, afirma Sintonen, es que un actor de amenazas que haya podido tener en sus manos suficientes correos electrónicos de OME podría usar esta información para inferir parcial o totalmente el contenido real de los mensajes. Esto se haría analizando la ubicación y la frecuencia de los patrones repetidos en los mensajes individuales y luego comparándolos con otros correos electrónicos y archivos de OME.
“Más correos electrónicos hacen que este proceso sea más fácil y más preciso, por lo que es algo que los atacantes pueden realizar después de que les roben los archivos de correo electrónico durante una violación de datos, o al ingresar a la cuenta de correo electrónico de alguien, al servidor de correo electrónico o al obtener acceso a las copias de seguridad”, dijo Sintonen, quien descubrió el problema en enero de 2022 y lo informó de inmediato a través del programa de recompensas por errores de Microsoft.
Sintonen agregó que debido a que este análisis de patrones se puede realizar fuera de línea, es aún más fácil para un atacante compararlo con los trabajos pendientes o los archivos de mensajes anteriores. Un atacante tampoco necesitaría conocimiento de las claves de cifrado, haciendo uso de un servicio Bring Your Own Encryption/Key (BYOE/K) sin ninguna defensa.
Desafortunadamente, agregó, esto significa que no hay una forma real para que las organizaciones impidan que un atacante que se apodera de sus correos electrónicos OME decodifique su contenido a través de este método.
“Cualquier organización con personal que usó OME para cifrar correos electrónicos básicamente tiene este problema. Para algunos, como aquellos que tienen requisitos de confidencialidad establecidos en contratos o regulaciones locales, esto podría crear algunos problemas”, dijo Sintonen.
“Y luego, por supuesto, hay dudas sobre el impacto que estos datos podrían tener en caso de que sean robados, lo que los convierte en una preocupación importante para las organizaciones”, dijo Sintonen.
Sintonen agregó que, dependiendo del contenido de sus correos electrónicos, muchas organizaciones podrían necesitar considerar el impacto legal de la vulnerabilidad, ya que podría generar impactos en la privacidad según regulaciones como el Reglamento General de Protección de Datos (GDPR) de la UE o el Reino Unido o el Consumidor de California. Ley de privacidad (CCPA), por nombrar solo dos.
Al momento de escribir este artículo, Microsoft no tiene planes conocidos para implementar medidas de mitigación o una solución para este problema. El equipo de seguridad de Redmond le dijo a WithSecure: “No se consideró que el informe cumpliera con los requisitos para el servicio de seguridad, ni se considera una violación. No se realizó ningún cambio de código, por lo que no se emitió CVE para este informe”.
A la luz de esto, si los equipos de seguridad consideran que esto es un riesgo abordable, la única solución procesable es dejar de usar OME de inmediato, pero como señaló Sintonen, hacerlo no mitiga el riesgo de que un atacante obtenga acceso a correos electrónicos previamente encriptados a través del Servicio.