W połowie października firma WithSecure (dawniej F-Secure Business), opublikowała zalecenie bezpieczeństwa dotyczące produktu Office 365. Chodzi o funkcjonalność Microsoft Office 365 Message Encryption (OME), która przy szyfrowaniu wiadomości e-mail, korzysta z przestarzałego, uznawanego dziś za niezapewniającego bezpieczeństwo, trybu szyfrowania AES Electronic Codebook (ECB).
Problem, który dotyczy wspomnianego trybu szyfrowania polega na tym, iż atakujący który byłby w stanie pozyskać odpowiednio dużą liczbę zabezpieczonych w ten sposób wiadomości, mógłby na ich podstawie – częściowo bądź w całości – je odszyfrować. Jest to możliwe poprzez analizę powtarzających się w wiadomościach wzorców oraz częstotliwości ich występowania. WithSecure zgłosiła odkrytą podatność do Microsoftu (autor zgłoszenia otrzymał nawet nagrodę z programu Bug Bounty MS), jednak firma z Redmond nie uznała tego za błąd, który wymagałby działań korygujących. Obecność trybu AES ECB w mechanizmie szyfrowania wiadomości w Office 365, została przez Microsoft wytłumaczona kompatybilnością wsteczną.
Źródło:
Flaw in Microsoft Office 365 Message Encryption could expose email contents to attackers
Microsoft Office 365 Message Encryption Insecure Mode of Operation
