Fin siber güvenlik firması WithSecure, Microsoft tarafından Office 365’te kullanılan mesaj şifreleme mekanizmasında tanımlanan bir güvenlik açığıyla ilgili bir tavsiye yayınladı.
WithSecure’ın analizine göre bu sorun, Microsoft’un US NIST (Ulusal Bilim ve Teknoloji Enstitüsü) tarafından tanımlanan Elektronik Yemek Kitabı/ECB blok şifresi gizlilik modunu kullanması nedeniyle oluştu.
Ancak bu mod kusurludur ve bu zaten kanıtlanmıştır. Ancak sorun şu ki, yenisinin 2023’ten önce piyasaya sürülememesi.
Güvenlik Açığı Nasıl Kullanılabilir?
WithSecure’un danışma belgesi, Microsoft 365 güvenlik açığının, kusurlu Office 365 İleti Şifreleme (OME) güvenlik yöntemi nedeniyle ileti içeriklerini çıkarmak için kullanılabileceğini ortaya koydu.
Bu yöntem, dahili/harici kullanıcılar arasında iletişimleri hakkında herhangi bir bilgi vermeden şifreli e-posta mesajları göndermek/almak için kullanılır.
Kusur, sahtekar üçüncü taraflara erişime izin verebilir ve şifreli e-postaları deşifre edebilir, böylece kullanıcıların hassas iletişimlerini açığa çıkarabilir. ECB mesajların yapısal bilgilerini sızdırdığı için bu durum gizlilik kaybına neden oluyor.
WithSecure, analizi sırasında AES ile şifrelenmiş bir görüntünün içeriğini kurtarabilir. Araştırmacılar, AES’nin kusurlu olmadığını çünkü asıl sorunun ECB modunun olduğunu kaydetti.
Microsoft’un Yanıtı
WithSecure, Microsoft’a bildirimde bulunduğunda şirketin, raporun güvenlik hizmeti kriterlerini karşılamadığını ve bir ihlal olarak sınıflandırmadığını söyledi.
“Rapor, güvenlik hizmeti için baroyu karşılamak olarak kabul edilmedi ve bir ihlal olarak kabul edilmedi. Hiçbir kod değişikliği yapılmadı ve bu nedenle bu rapor için bir CVE yayımlanmadı.”
Microsoft
WithSecure, bir istismar riski olduğunu kanıtlamış olsa da, ajansın ECB modunun gerçekten kusurlu olduğunu belirttiği NIST’in açıklamasına da atıfta bulundu.
Bu karşılaştırma, imza blokları veya ortak bilgi gibi mesajlar arasında tekrarlanan verileri ifşa edebilir ve saldırganlar mesajın yapısını kolayca eşleyebilir. Bu nedenle, Microsoft’un bunu gerçek bir sorun olarak görmemesi şaşırtıcı.
Yine de kullanıcılar dikkatli olmalı ve e-posta şifreleme için OME kullanan kuruluşlar, Microsoft bir düzeltme yayınlayana veya daha iyi bir seçenek bulunana kadar bunu e-posta gizliliğinin tek yöntemi olarak kullanmaktan kaçınmalıdır.
Daha Fazla Microsoft Güvenlik Haberi
- Bilgisayar korsanları, kötü amaçlı yazılımları yaymak için Microsoft Teams sohbetini kullanıyor
- Kimlik Avı Saldırılarında Microsoft Ekibi GIF’lerinden Yararlanan Dolandırıcılar
- Kötü amaçlı Office belgeleri, tüm kötü amaçlı yazılım indirmelerinin %43’ünü oluşturur
- Microsoft Office 365’te Veri Kaybını Azaltmak için 10 Önemli Güvenlik İpuçları
- Kötü Amaçlı Yazılım Saldırılarında Microsoft Office’ten En Çok Yararlanan Yazılım – Rapor