Các nhà nghiên cứu cho biết Microsoft Office 365 sử dụng mã hóa email bị hỏng để bảo mật thư

www.tuoitre.vn -   19/10/2022 08:00:00 670

Nghiên cứu mới đã tiết lộ cái được gọi là lỗ hổng bảo mật trong Microsoft 365 có thể bị khai thác để suy ra nội dung thư do sử dụng một thuật toán mật mã bị hỏng.

Nghiên cứu mới đã tiết lộ cái được gọi là lỗ hổng bảo mật trong Microsoft 365 có thể bị khai thác để suy ra nội dung thư do sử dụng một thuật toán mật mã bị hỏng.

Công ty an ninh mạng WithSecure của Phần Lan cho biết trong một báo cáo được công bố vào tuần trước: “Các tin nhắn [Mã hóa tin nhắn Office 365] được mã hóa trong chế độ hoạt động của Sổ mã điện tử (ECB) không an toàn.

Mã hóa Thư Office 365 (OME) là một cơ chế bảo mật được sử dụng để gửi và nhận thư email được mã hóa giữa người dùng bên trong và bên ngoài tổ chức mà không tiết lộ bất kỳ điều gì về bản thân các liên lạc.

Hệ quả của vấn đề mới được tiết lộ là các bên thứ ba giả mạo có quyền truy cập vào các email được mã hóa có thể giải mã các tin nhắn, phá vỡ các biện pháp bảo mật một cách hiệu quả.

Sổ mật mã điện tử là một trong những phương thức mã hóa đơn giản nhất, trong đó mỗi khối thông báo được mã hóa riêng biệt bằng một khóa, có nghĩa là các khối bản rõ giống hệt nhau sẽ được chuyển thành các khối bản mã giống hệt nhau, khiến nó không phù hợp như một giao thức mật mã.

Thật vậy, Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) đã chỉ ra vào đầu năm nay rằng "Chế độ ECB mã hóa các khối bản rõ một cách độc lập, không ngẫu nhiên; do đó, việc kiểm tra hai khối bản mã bất kỳ cho thấy liệu các khối bản rõ tương ứng có bằng nhau hay không. "

Điều đó nói rằng, thiếu sót được xác định bởi WithSecure không liên quan đến việc giải mã một thư đơn lẻ, mà là các ngân hàng phân tích một kho các thư bị đánh cắp được mã hóa cho các mẫu rò rỉ như vậy và sau đó giải mã nội dung.

Công ty cho biết: “Kẻ tấn công có cơ sở dữ liệu lớn về các tin nhắn có thể suy ra nội dung của chúng (hoặc các phần của nó) bằng cách phân tích vị trí tương đối của các phần lặp lại của các tin nhắn bị chặn”.

Các phát hiện làm tăng thêm lo ngại rằng thông tin được mã hóa trước đó đã được lấy ra có thể bị giải mã và khai thác cho các cuộc tấn công trong tương lai, một mối đe dọa được gọi là "hack ngay bây giờ, giải mã sau", thúc đẩy nhu cầu chuyển sang các thuật toán kháng lượng tử.

Về phần mình, Microsoft coi OME là một hệ thống kế thừa, với việc công ty khuyến nghị khách hàng sử dụng nền tảng quản trị dữ liệu gọi là Purview để bảo mật email và tài liệu thông qua mã hóa và kiểm soát truy cập.

"Mặc dù cả hai phiên bản có thể cùng tồn tại, chúng tôi thực sự khuyên bạn nên chỉnh sửa quy tắc luồng thư cũ của mình sử dụng hành động quy tắc Áp dụng phiên bản OME trước đó để sử dụng Mã hóa thư Purview của Microsoft", Redmond lưu ý trong tài liệu của nó.

WithSecure cho biết: “Vì Microsoft không có kế hoạch sửa chữa lỗ hổng này nên việc giảm thiểu duy nhất là tránh sử dụng Mã hóa tin nhắn Microsoft Office 365.

Hương

TIN CÙNG CHUYÊN MỤC

Hội nghị đại lý “Let’s go Next: cybersec...

09/05/2024 10:00:00 189
Chiều ngày 7/5, Kaspersky đã có buổi hội nghị đại lý “Let’s go Next: cybersecurity redefined” tại So...

Họp báo ra mắt dòng sản phẩm chủ lực mới...

09/05/2024 09:00:00 134
Ngày 7/5, Kaspersky tự hào ra mắt giải pháp XDR tiên tiến Kaspersky Next, đồng thời chuyển đổi toàn ...

Google đã ngăn chặn 2,28 triệu ứng dụng ...

29/04/2024 08:00:00 263
Google hôm thứ Hai tiết lộ rằng gần 200.000 ứng dụng gửi tới Play Store dành cho Android đã bị từ ch...

Nhiều ứng dụng AI bị Apple gỡ khỏi App S...

29/04/2024 12:00:00 253
Apple đang tiến hành xử lý một danh mục ứng dụng tạo hình ảnh AI “quảng cáo khả năng tạo ra hình ảnh...

Để kiếm tiền từ Generative AI, các hãng ...

26/04/2024 12:00:00 287
Chi phí đằng sau Generative AI thực sự khá cao, vì nó đòi hỏi nhiều sức mạnh xử lý để đào tạo và vận...

Lỗ hổng bảo mật lớn phơi bày thao tác gõ...

25/04/2024 08:00:00 149
Các lỗ hổng bảo mật được phát hiện trong các ứng dụng bàn phím bính âm dựa trên đám mây có thể bị kh...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ