WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Lỗi trong Microsoft OME có thể dẫn đến rò rỉ dữ liệu được mã hóa
Tính năng mã hóa thư của Microsoft Office 365 (Office 365 Message Encryption - OME) tồn tại vấn đề có thể dẫn đến rò rỉ thông tin của email do sử dụng Electronic Codebook (Sổ mã điện tử - ECB).
Vấn đề với ECB không phải là mới. Theo NIST, “chế độ ECB mã hóa các khối plaintext một cách độc lập, không ngẫu nhiên; do đó, việc kiểm tra hai khối ciphertext bất kỳ cho thấy các khối plaintext tương ứng có bằng nhau hay không… việc sử dụng ECB để mã hóa thông tin bí mật tạo ra một lỗ hổng bảo mật nghiêm trọng”.
Là người báo cáo vấn đề, nhà nghiên cứu Harry Sintonen nhận xét: “Những kẻ tấn công tiếp cận được nhiều tin nhắn có thể sử dụng thông tin ECB bị rò rỉ để tìm ra nội dung được mã hóa. Càng nhiều email, quá trình này càng dễ dàng và chính xác hơn”.
Vấn đề không nằm ở việc giải mã. Nội dung cleartext của tin nhắn không bị tiết lộ trực tiếp. Tuy nhiên, một số nội dung có thể bị tiết lộ.
Vì các khối lặp lại của tin nhắn cleartext luôn ánh xạ tới các khối ciphertext giống nhau, kẻ tấn công có dữ liệu các email bị đánh cắp có thể phân tích và suy ra các phần cleartext của các email được mã hóa.
Theo nghĩa này, vấn đề tương tự như mối đe dọa ‘harvest now, decrypt later’ của giải mã lượng tử. Kẻ xấu có thể đánh cắp lượng lớn email khi biết rằng càng có nhiều email thì số lượng các mẫu lặp lại càng lớn và các suy luận cleartext càng chính xác.
Kẻ tấn công sẽ tìm kiếm một khối ciphertext có vẻ được quan tâm, sau đó sử dụng nó làm dấu vân tay để đánh dấu các email khác có cùng dấu vân tay. Việc tìm kiếm này trên tất cả các email có sẵn sẽ được tự động hóa.
AI cũng là một trợ giúp. AI có thể phát hiện các khối ciphertext có thể so sánh được dù không chính xác.
Sintonen đã báo cáo phát hiện của mình cho Microsoft vào tháng 1 năm 2022 và được thưởng 5 nghìn đô la. Tuy nhiên, Microsoft không coi đây là một vấn đề nghiêm trọng và không có CVE nào được cấp cho lỗ hổng này.
Dù vậy, không nên bỏ qua tiềm năng bị tấn công và biện pháp giảm thiểu duy nhất cho lỗ hổng này là ngừng sử dụng OME để mã hóa các tệp nhạy cảm.
Vấn đề với ECB không phải là mới. Theo NIST, “chế độ ECB mã hóa các khối plaintext một cách độc lập, không ngẫu nhiên; do đó, việc kiểm tra hai khối ciphertext bất kỳ cho thấy các khối plaintext tương ứng có bằng nhau hay không… việc sử dụng ECB để mã hóa thông tin bí mật tạo ra một lỗ hổng bảo mật nghiêm trọng”.
Là người báo cáo vấn đề, nhà nghiên cứu Harry Sintonen nhận xét: “Những kẻ tấn công tiếp cận được nhiều tin nhắn có thể sử dụng thông tin ECB bị rò rỉ để tìm ra nội dung được mã hóa. Càng nhiều email, quá trình này càng dễ dàng và chính xác hơn”.
Vấn đề không nằm ở việc giải mã. Nội dung cleartext của tin nhắn không bị tiết lộ trực tiếp. Tuy nhiên, một số nội dung có thể bị tiết lộ.
Vì các khối lặp lại của tin nhắn cleartext luôn ánh xạ tới các khối ciphertext giống nhau, kẻ tấn công có dữ liệu các email bị đánh cắp có thể phân tích và suy ra các phần cleartext của các email được mã hóa.
Theo nghĩa này, vấn đề tương tự như mối đe dọa ‘harvest now, decrypt later’ của giải mã lượng tử. Kẻ xấu có thể đánh cắp lượng lớn email khi biết rằng càng có nhiều email thì số lượng các mẫu lặp lại càng lớn và các suy luận cleartext càng chính xác.
Kẻ tấn công sẽ tìm kiếm một khối ciphertext có vẻ được quan tâm, sau đó sử dụng nó làm dấu vân tay để đánh dấu các email khác có cùng dấu vân tay. Việc tìm kiếm này trên tất cả các email có sẵn sẽ được tự động hóa.
AI cũng là một trợ giúp. AI có thể phát hiện các khối ciphertext có thể so sánh được dù không chính xác.
Sintonen đã báo cáo phát hiện của mình cho Microsoft vào tháng 1 năm 2022 và được thưởng 5 nghìn đô la. Tuy nhiên, Microsoft không coi đây là một vấn đề nghiêm trọng và không có CVE nào được cấp cho lỗ hổng này.
Dù vậy, không nên bỏ qua tiềm năng bị tấn công và biện pháp giảm thiểu duy nhất cho lỗ hổng này là ngừng sử dụng OME để mã hóa các tệp nhạy cảm.
Theo Security Week