تدعي Microsoft Office 365 Message Encryption أنها توفر طريقة “لإرسال رسائل بريد إلكتروني مشفرة واستلامها بين الأشخاص داخل وخارج مؤسستك”.
أيضًا ، وفقًا لمختبر WithSecure التابع لـ F-Secure ، فإن هذا غير مناسب للغرض. طريقة التشفير المستخدمة ، والمعروفة باسم كتاب الترميز الإلكتروني (ECB) ، ليست آمنة للبيانات ذات الأنماط المتكررة ، مثل النص العادي أو الصور ومقاطع الفيديو غير المضغوطة. ولم تقم Microsoft بإصلاحه.
عند استخدام وضع ECB ، يتم تقسيم الرسالة إلى سلسلة من الكتل ، وينتج نفس النص العادي في كتل مختلفة نصًا مشفرًا متطابقًا. بالنسبة للصور التي يتم فيها تمثيل وحدات البكسل من نفس اللون بنفس النص العادي ، يكون النص المشفر المقابل هو نفسه أيضًا لوحدات البكسل المتشابهة ، مما يجعل الصورة مرئية من خلال النص المشفر.
البنك المركزي الأوروبي متسرب وغير مناسب للاتصال الآمن. ينصح خبراء التشفير بعدم استخدام البنك المركزي الأوروبي كبروتوكول تشفير. كما تنص NIST الأمريكية ، “يشكل تشفير المعلومات الحساسة باستخدام البنك المركزي الأوروبي ثغرة أمنية خطيرة.”
يعتمد Office 365 Message Encryption (OME) على AES ، وهو تشفير قوي ، لكن WithSecure يقول إنه غير ذي صلة لأن البنك المركزي الأوروبي ضعيف وعرضة لتحليل التشفير بغض النظر عن التشفير المستخدم. ومع ذلك ، عندما يتم دمج AES مع وضع ECB ، ينتج عن ذلك التشفير ضعيف.
وفقًا لمختبرات الأمان ، يتم إرسال الرسائل المشفرة بواسطة OME كمرفقات بريد إلكتروني ، لذلك قد تكون موجودة في نظام البريد الإلكتروني الخاص بك أو يتم اعتراضها. قد يتمكن المهاجم الذي يتمتع بوصول كافٍ إلى هذه الرسائل من استنتاج محتوى الرسائل من خلال تحليل أنماط النص المشفر المتكررة.
قال الباحث الأمني في WithSecure Harry Sintonen في بيان: “يمكن للمهاجم الذي يمكنه الحصول على رسائل متعددة استخدام معلومات البنك المركزي الأوروبي المسربة للحصول على نظرة ثاقبة للمحتوى المشفر”.
“كلما زاد عدد رسائل البريد الإلكتروني لديك ، أصبحت هذه العملية أسهل وأكثر دقة ، بحيث يمكن للمهاجمين سرقة أرشيفات البريد الإلكتروني ، أو اختراق حسابات البريد الإلكتروني أو خوادم البريد الإلكتروني لشخص ما ، أو حتى استخدام النسخ الاحتياطية في حالة حدوث خرق للبيانات. ستتمكن من الوصول إلى وتنفيذها “.
يعتقد WithSecure أن استمرار Microsoft في استخدام البنك المركزي الأوروبي يرجع إلى رغبتها في الحفاظ على التوافق.استخدمت شركة أمان مكتبة Microsoft Information Protection (MIP) C ++ لـ ProtectionHandler::PublishingSettings فئة مع SetIsDeprecatedAlgorithmPreferred طريقة. تم وصف هذه الطريقة في وثائق Microsoft.
من الواضح أن Microsoft لا ترى هذا على أنه مشكلة. بعد تنبيه من نتائج WithSecure ، قال عملاق البرمجيات إنه لم يكن هناك حاجة لاتخاذ أي إجراء. “
في أبريل ، قدمت Microsoft نظامًا لإدارة البيانات يسمى Microsoft Purview. يعتبر Office 365 Message Encryption (OME) الآن نظامًا قديمًا. يقال إن Goliath for Windows يفكر في طرق تشفير بديلة للمنتجات المستقبلية.
عن طريق البريد الإلكتروني إلى تسجيلقال متحدث باسم Microsoft: “تهدف ميزة إدارة الحقوق إلى أن تكون أداة لمنع إساءة الاستخدام العرضي وليست محيطًا أمنيًا. نحن نشجع العملاء على اتباع ممارسات مثل المصادقة واستخدام منتجات مكافحة البرامج الضارة في الوقت الفعلي.”
قالت WithSecure إن المؤسسات التي تستخدم Office 365 Message Encryption قد ترغب في النظر في الآثار القانونية لهذه الثغرة الأمنية ، لا سيما فيما يتعلق بلوائح الخصوصية في الاتحاد الأوروبي وكاليفورنيا.
خلص المعمل إلى أنه “نظرًا لأن Microsoft ليس لديها خطط لإصلاح هذه الثغرة الأمنية ، فإن التخفيف الوحيد هو تجنب استخدام Microsoft Office 365 Message Encryption”. ®