Se recomienda evitar el uso de OME como medio para garantizar la confidencialidad de los correos electrónicos
Los investigadores de WithSecure advierten a las organizaciones sobre una debilidad de seguridad en Microsoft Office 365, Message Encryption (OME), que los atacantes podrían aprovechar para obtener información confidencial.
OME, que utilizan las organizaciones para enviar correos electrónicos cifrados interna y externamente, utiliza la implementación del libro de códigos electrónico (ECB), un modo de operación conocido por filtrar cierta información estructural sobre los mensajes.
Los atacantes capaces de obtener suficientes correos electrónicos de OME podrían utilizar la información filtrada para inferir total o parcialmente el contenido de los mensajes mediante el análisis de la ubicación y la frecuencia de patrones repetidos en mensajes individuales, y luego comparar estos patrones con los que se encuentran en otros correos electrónicos y archivos de OME.
Posible escenario de ataque
“Los atacantes que pueden obtener múltiples mensajes pueden usar la información del ECB filtrada para descubrir los contenidos encriptados. Más correos electrónicos hacen que este proceso sea más fácil y preciso, por lo que es algo que los atacantes pueden realizar después de tener en sus manos archivos de correo electrónico robados durante una vulneración de datos, o al ingresar a la cuenta de correo electrónico de alguien, al servidor de correo electrónico o al obtener acceso a las copias de seguridad", explicó el consultor e investigador de seguridad de WithSecure, Harry Sintonen, quien descubrió el problema.
Según el aviso, el análisis se puede realizar fuera de línea, lo que significa que un atacante podría comprometer los trabajos pendientes o los archivos de mensajes anteriores.
Desafortunadamente, las organizaciones no tienen forma de evitar que un atacante que se apodera de los correos electrónicos afectados comprometa su contenido utilizando el método descrito en el aviso.
El aviso también destaca que no se necesita conocimiento de las claves de cifrado para realizar el análisis, y que el uso de un esquema Bring Your Own Key (BYOK) no soluciona el problema.
¿Qué hacer?
Sintonen compartió su investigación con Microsoft en enero de 2022. Si bien Microsoft reconoció el problema y pagó a Sintonen a través de su programa de recompensas por vulnerabilidades, optaron por no emitir una solución. Si bien las organizaciones pueden mitigar el problema simplemente al no usar la función, no aborda los riesgos de que los adversarios obtengan acceso a los correos electrónicos existentes cifrados con OME.
"Cualquier organización con personal que haya usado OME para cifrar correos electrónicos básicamente tiene este problema. Para algunos, como aquellos que tienen requisitos de confidencialidad establecidos en contratos o regulaciones locales, esto podría crear algunos problemas. Y luego, por supuesto, hay dudas sobre el impacto que estos datos podrían tener en caso de que sean robados, lo que los convierte en una importante preocupación para las organizaciones", dijo Sintonen.
Debido a que no existe una solución de Microsoft o un modo de operación más seguro disponible para los administradores o usuarios de correo electrónico, WithSecure recomienda evitar el uso de OME como medio para garantizar la confidencialidad de los correos electrónicos.
