De acordo para pesquisadores de segurança da WithSecure, há uma falha no Microsoft Office 365 que pode permitir que terceiros vejam partes ou todas as mensagens criptografadas enviadas no pacote de produtividade. A equipe de pesquisa diz que o problema decorre de uma fraqueza no modo de operação de bloco.
Não é necessário dizer que esse é um problema potencialmente significativo porque a criptografia de mensagens do Microsoft Office 365 é usada por empresas para enviar mensagens confidenciais e/ou informação privada. Como toda criptografia, ela fornece confidencialidade para o envio de mensagens com segurança de ponto a ponto.
No Office 365, o componente que controla a criptografia de dados – Electronic Code Book (ECB) – apresenta um problema. ECB é o modo que infere mensagem de texto simples. No entanto, as áreas dos dados de texto simples que se repetem têm a mesma criptografia se a mesma chave for usada.
Isso é problemático porque cria um padrão que pode permitir que os agentes de ameaças decifrem as informações estruturais das mensagens. Isso significa que eles não podem ver a mensagem diretamente, mas, se forem qualificados o suficiente, podem procurar padrões para tornar as mensagens legíveis:
“Mais e-mails tornam esse processo mais fácil e preciso, então é algo que os invasores podem realizar depois de obter seus mãos em arquivos de e-mail roubados durante uma violação de dados, ou invadindo a conta de e-mail de alguém, servidor de e-mail ou obtendo acesso a backups”, diz Harry Sintonen da WithSecure.
Problemas
Os principais O problema com o ECB é que as áreas repetitivas nos dados de texto simples têm o mesmo resultado criptografado quando a mesma chave é usada, criando assim um padrão.
Vimos anteriormente o que pode acontecer quando o modo ECB é quebrado quando a Adobe sofreu uma enorme violação de dados em 2013. Durante esse episódio, dezenas de milhões de senhas foram tomadas e vazadas online.
Um porta-voz da Microsoft disse a BleepingComputer que”ri O recurso de gerenciamento de ghts destina-se a ser uma ferramenta para evitar o uso indevido acidental e não é um limite de segurança.”
“Para ajudar a evitar abusos, recomendamos que os clientes sigam as práticas recomendadas de segurança, incluindo manter os sistemas atualizados, habilitar vários autenticação de fator e usando um produto anti-malware em tempo real”.
Dica do dia: Precisa reduzir o tamanho da imagem de várias imagens, mas não tem tempo para editar cada um? O redimensionador de imagens PowerToys da Microsoft pode redimensionar suas fotos em lote com apenas dois cliques.
