Onderzoekers waarschuwen voor een kwetsbaarheid in de Office 365 Message Encryption-functie van Microsoft. Cybercriminelen kunnen versleutelde berichten ontsleutelen met een breed beschikbare methode. Microsoft is op de hoogte van het probleem, maar weigert actie te ondernemen.

Microsoft biedt meerdere versleutelingsopties voor gegevens in Office 365. Een van de opties is Message Encryption, beschikbaar in Microsoft Purview. De functie stelt eindgebruikers in staat om versleutelde mails te versturen naar ontvangers binnen en buiten de organisatie.

Onderzoekers van WithSecure vonden onlangs een kwetsbaarheid in Message Encryption. De functie gebruikt Electronic Code Book (ECB)-technologie om berichten te versleutelen. Cybercriminelen omzeilden dezelfde technologie in 2013 om een gigantische gestolen database van Adobe te ontsleutelen.

De methode werd toentertijd uitgebreid gedocumenteerd. De breed beschikbare informatie stelt cybercriminelen in staat om de versleuteling van Message Encryption te omzeilen. Er is geen bewijs dat de kwetsbaarheid in de praktijk is misbruikt, maar onderzoekers waarschuwen voor het risico.

Message Encryption

Message Encryption hoort ervoor te zorgen dat gestolen gegevens onbruikbaar zijn voor cybercriminelen. Wanneer je een gevoelige mail naar een extern bedrijf verstuurt en de database van het bedrijf op een later moment wordt gelekt, dan zijn de gegevens onleesbaar.

Vanwege de kwetsbaarheid is het laatste geen garantie. “Aanvallers kunnen de methode uitvoeren nadat ze e-mailarchieven in handen hebben gekregen via een datalek, of door in te breken in iemands e-mailaccount, e-mailserver of toegang te krijgen tot back-ups”, legde WithSecure-onderzoeker Harry Sintonen uit.

Microsoft weigert patch

Microsoft is op de hoogte van het probleem. WithSecure informeerde de techgigant in januari 2022. Microsoft erkende de kwetsbaarheid en beloonde het securitybedrijf met een financiële vergoeding. Daarna werd het stil.

In de afgelopen maanden vroeg WithSecure herhaaldelijk naar de status van een patch. De techgigant schoof het probleem onder de tafel. Microsoft vertelde tegen WithSecure dat de kwetsbaarheid “niet aan de meetlat” van een patch voldoet.

De kans dat de techgigant met een oplossing komt is klein. Microsoft weigert regelmatig om patches voor securityproblemen te ontwikkelen. In september 2022 maakte securitybedrijf Vectra bekend dat de techgigant wekenlang een kwetsbaarheid in Teams negeerde. Soms hebben security-onderzoekers een andere mening over de ernst van risico’s dan Microsoft.

Bij gebrek aan een patch adviseert WithSecure om de Message Encryption-functie van Office 365 te vermijden.

Tip: Data privacy: van noodzakelijke security-stap tot competitief voordeel