قليل من الحلول لها اعتماد المؤسسة مثل Office 365. وفقًا لـ Statista، تستخدم أكثر من 879851 شركة في الولايات المتحدة منتجات Office 365 للتعاون والاستمرار في الإنتاج. ومع ذلك، يشير بحث جديد إلى أن النظام الأساسي يمكن أن يترك رسائل البريد الإلكتروني المشفرة عرضة لفك التشفير من قبل المتسللين.
اكتشف باحث من مزود الحماية السحابية ونقطة النهاية WithSecure عيبًا لا يمكن الوصول إليه في Microsoft Office 365 Message Encryption (OME). الخلل يمكّن المتسلل من استنتاج محتويات الرسائل المشفرة.
يستخدم OME تشفير كتلة دفتر الرموز الإلكتروني (ECB) Electronic Codebook، والذي يقوم بتسريب المعلومات الهيكلية حول الرسالة. هذا يعني أنه إذا حصل المهاجم على العديد من رسائل البريد الإلكتروني، فيمكنه استنتاج محتويات الرسائل عن طريق تحليل موقع وتكرار الأنماط في الرسائل ومطابقتها مع رسائل البريد الإلكتروني الأخرى.
بالنسبة للمؤسسات، يسلط هذا الضوء على أن مجرد تشفير رسائلك الإلكترونية لا يعني أنها في مأمن من الجهات المهددة. إذا قام شخص ما بسرقة أرشيفات البريد الإلكتروني أو النسخ الاحتياطية الخاصة بك، والوصول إلى خادم البريد الإلكتروني الخاص بك، فيمكنه استخدام هذه التقنية لتجاوز التشفير.
ما مدى سهولة فك تشفير رسائل البريد الإلكتروني من Office 365 على المهاجمين؟
يأتي هذا الاكتشاف بعد فترة وجيزة من اكتشاف الباحثين أن المتسللين كانوا يربطون اثنين من عمليات استغلال Exchange الجديدة لاستهداف خوادم Microsoft Exchange.
شاركت WithSecure في الأصل اكتشافها لثغرة Office 365 مع Microsoft في يناير 2022. اعترفت Microsoft بذلك ودفعت للباحث من خلال برنامج مكافآت الثغرات الأمنية، لكنها لم تصدر إصلاحًا.
من المهم ملاحظة أن Microsoft ليست المزود الوحيد الذي تلقى انتقادات لاستخدام البنك المركزي الأوروبي. قبل عامين فقط، تلقى Zoom انتقادات شديدة لاختياره AES-128 ECB لتشفير المكالمات وفضح مقاطع الفيديو الخاصة للأفراد غير المصرح لهم.
على الرغم من أن مشكلة عدم حصانة Office 365 هذه لا تقوم بفك تشفير محتوى الرسائل بشكل مباشر، إلا أنه إذا تمكن المهاجم من إرسال إشارات مرجعية كافية لأنماط البريد الإلكتروني، فإن المعلومات المحمية معرضة لخطر الكشف من خلال الاستدلال.
يمكن للطرف الخبيث الذي يمكنه الوصول إلى رسائل البريد الإلكتروني المشفرة استخراج بعض المعلومات من رسائل البريد الإلكتروني المفترض أنها مشفرة. قال هاري سينتونين، مستشار الأمن الرئيسي في WithSecure، "اعتمادًا على خصائص المحتوى المحدد في البريد الإلكتروني، يمكن أن يكون الكشف (تقريبًا) كاملًا أو جزئيًا".
كلما زاد عدد رسائل البريد الإلكتروني المشفرة التي يتمكن المهاجم من جمعها، كان من الأسهل عليهم مقارنة الأنماط وفك تشفير محتوى الرسالة. فيما يتعلق بمستوى الخطر الذي تشكله هذه الثغرة الأمنية، أشار سينتونين إلى أن المستخدمين المعرضين للخطر بشكل خاص سيكونون "أولئك الذين يستخدمون OME لتشفير رسائل البريد الإلكتروني والمرفقات شديدة الحساسية، والذين من المهم بالنسبة لهم تجنب الكشف عن المصادر (أو أطراف الاتصال) على العموم). ومن الأمثلة الجيدة على ذلك النشطاء أو الصحفيون.
على سبيل المثال، إذا أرسل صحفي مستندًا شديد الحساسية إلى جهة اتصال، يمكن لممثل التهديد الذي ترعاه الدولة إنشاء بصمة له، ومسح رسائل البريد الإلكتروني المشفرة الأخرى، وتحديد من أرسل الهدف المستند إليه.
اكتشف باحث من مزود الحماية السحابية ونقطة النهاية WithSecure عيبًا لا يمكن الوصول إليه في Microsoft Office 365 Message Encryption (OME). الخلل يمكّن المتسلل من استنتاج محتويات الرسائل المشفرة.
يستخدم OME تشفير كتلة دفتر الرموز الإلكتروني (ECB) Electronic Codebook، والذي يقوم بتسريب المعلومات الهيكلية حول الرسالة. هذا يعني أنه إذا حصل المهاجم على العديد من رسائل البريد الإلكتروني، فيمكنه استنتاج محتويات الرسائل عن طريق تحليل موقع وتكرار الأنماط في الرسائل ومطابقتها مع رسائل البريد الإلكتروني الأخرى.
بالنسبة للمؤسسات، يسلط هذا الضوء على أن مجرد تشفير رسائلك الإلكترونية لا يعني أنها في مأمن من الجهات المهددة. إذا قام شخص ما بسرقة أرشيفات البريد الإلكتروني أو النسخ الاحتياطية الخاصة بك، والوصول إلى خادم البريد الإلكتروني الخاص بك، فيمكنه استخدام هذه التقنية لتجاوز التشفير.
ما مدى سهولة فك تشفير رسائل البريد الإلكتروني من Office 365 على المهاجمين؟
يأتي هذا الاكتشاف بعد فترة وجيزة من اكتشاف الباحثين أن المتسللين كانوا يربطون اثنين من عمليات استغلال Exchange الجديدة لاستهداف خوادم Microsoft Exchange.
شاركت WithSecure في الأصل اكتشافها لثغرة Office 365 مع Microsoft في يناير 2022. اعترفت Microsoft بذلك ودفعت للباحث من خلال برنامج مكافآت الثغرات الأمنية، لكنها لم تصدر إصلاحًا.
من المهم ملاحظة أن Microsoft ليست المزود الوحيد الذي تلقى انتقادات لاستخدام البنك المركزي الأوروبي. قبل عامين فقط، تلقى Zoom انتقادات شديدة لاختياره AES-128 ECB لتشفير المكالمات وفضح مقاطع الفيديو الخاصة للأفراد غير المصرح لهم.
على الرغم من أن مشكلة عدم حصانة Office 365 هذه لا تقوم بفك تشفير محتوى الرسائل بشكل مباشر، إلا أنه إذا تمكن المهاجم من إرسال إشارات مرجعية كافية لأنماط البريد الإلكتروني، فإن المعلومات المحمية معرضة لخطر الكشف من خلال الاستدلال.
يمكن للطرف الخبيث الذي يمكنه الوصول إلى رسائل البريد الإلكتروني المشفرة استخراج بعض المعلومات من رسائل البريد الإلكتروني المفترض أنها مشفرة. قال هاري سينتونين، مستشار الأمن الرئيسي في WithSecure، "اعتمادًا على خصائص المحتوى المحدد في البريد الإلكتروني، يمكن أن يكون الكشف (تقريبًا) كاملًا أو جزئيًا".
كلما زاد عدد رسائل البريد الإلكتروني المشفرة التي يتمكن المهاجم من جمعها، كان من الأسهل عليهم مقارنة الأنماط وفك تشفير محتوى الرسالة. فيما يتعلق بمستوى الخطر الذي تشكله هذه الثغرة الأمنية، أشار سينتونين إلى أن المستخدمين المعرضين للخطر بشكل خاص سيكونون "أولئك الذين يستخدمون OME لتشفير رسائل البريد الإلكتروني والمرفقات شديدة الحساسية، والذين من المهم بالنسبة لهم تجنب الكشف عن المصادر (أو أطراف الاتصال) على العموم). ومن الأمثلة الجيدة على ذلك النشطاء أو الصحفيون.
على سبيل المثال، إذا أرسل صحفي مستندًا شديد الحساسية إلى جهة اتصال، يمكن لممثل التهديد الذي ترعاه الدولة إنشاء بصمة له، ومسح رسائل البريد الإلكتروني المشفرة الأخرى، وتحديد من أرسل الهدف المستند إليه.
افترض الأسوأ
مع ارتفاع عدد انتهاكات البيانات بنسبة 20.5٪ من عام 2020 إلى عام 2021، لا يمكن للمؤسسات أن تفترض أن رسائل البريد الإلكتروني المشفرة الخاصة بها منيعة أمام الجهات الفاعلة في التهديد.
لهذا السبب، يوصي Sintonen الشركات التي تستخدم OME بالتحقيق في مستوى التهديد. لا يشمل ذلك تحديد أنواع المواد التي تتم مشاركتها عبر البريد الإلكتروني فحسب، بل أيضًا توقع المعلومات أو الملفات التي يمكن كشفها، ورسم خرائط التأثير.
في النهاية، سيتعين على المؤسسات أن تقرر بنفسها ما إذا كان التشفير المدمج في Office 365 يوفر مستوى مقبولًا من المخاطر لاحتياجاتهم التعاونية أو ما إذا كانوا بحاجة إلى إيجاد بديل آمن لتسليم البريد الإلكتروني المشفر.
