Enkripsi email Microsoft Office 365 mungkin tidak seketat kelihatannya

Enkripsi email Microsoft Office 365 mungkin tidak seketat kelihatannya

Ada kekurangan dalam cara Microsoft menangani email yang aman (terbuka di tab baru) dikirim melalui Microsoft Office 365, klaim seorang peneliti keamanan.

Seperti yang dilaporkan oleh Komputer Mingguandiberikan sampel yang cukup besar, aktor ancaman tampaknya dapat memanfaatkan kelemahan tersebut untuk mendekripsi konten email terenkripsi.

Namun, Microsoft meremehkan temuan itu, dengan mengatakan itu bukan cacat. Untuk saat ini, perusahaan belum berniat melakukan remediasi.

Lebih banyak email, penemuan lebih mudah

Cacat ini ditemukan oleh peneliti keamanan Harry Sintonen dari WithSecure (sebelumnya F-Secure) di Office 365 Message Encryption (OME).

Organisasi biasanya menggunakan OME ketika ingin mengirim email terenkripsi, baik secara internal maupun eksternal. Tetapi karena OME mengenkripsi setiap blok cipher secara individual, dan dengan blok pesan yang berulang yang sesuai dengan blok ciphertext yang sama setiap kali, pelaku jahat secara teoritis dapat mengungkapkan detail tentang struktur pesan.

Ini, menurut Sintonen, berarti bahwa aktor ancaman potensial dengan sampel email OME yang cukup besar dapat menyimpulkan isi pesan. Yang harus mereka lakukan hanyalah menganalisis lokasi dan frekuensi pola berulang di setiap pos, dan mencocokkannya dengan pos lain.

“Lebih banyak email membuat proses ini lebih mudah dan lebih akurat, jadi ini adalah sesuatu yang dapat dilakukan penyerang setelah mendapatkan arsip email yang dicuri selama pelanggaran data, atau membobol akun email seseorang, server email, atau mengakses cadangan,” kata Sintonen.

Jika aktor jahat mendapatkan arsip email yang dicuri selama pelanggaran data, itu berarti mereka dapat menganalisis pola secara offline, membuat pekerjaan menjadi lebih mudah. Itu juga akan membuat praktik Bring Your Own Encryption/Key (BYOE/K) menjadi usang.

Baca Juga : Game terbaik untuk memamerkan RTX 4090 Nvidia

Sayangnya, jika peretas mendapatkan email ini, perusahaan tidak bisa berbuat banyak.

Rupanya, peneliti melaporkan masalah tersebut ke Microsoft awal tahun ini, tetapi tidak berhasil. Dalam sebuah pernyataan yang diberikan kepada WithSecure, Microsoft mengatakan bahwa laporan itu “tidak dianggap menabrak bilah layanan keamanan, atau pelanggaran. Tidak ada perubahan kode yang dibuat dan oleh karena itu tidak ada CVE yang dikeluarkan untuk laporan ini”.

Melalui ComputerWeekly (terbuka di tab baru)