In Office 365 ist eine schwere Sicherheitslücke aufgetaucht. Und das wirklich Riskante daran ist: Diese Office-Sicherheitslücke lässt sich vermutlich nicht mit einem Patch, also einem Update, schließen.
Bei uns erfahren Sie, welche Gefahren drohen, worin die Ursache dieser Microsoft-Office-Sicherheitslücke liegt und wie Microsoft reagiert.
Unser Beitrag über Office-Sicherheitslücke im Überblick:
Office-Sicherheitslücke entdeckt
Immer wieder berichten wir in unserem Blog darüber, wie wichtig Updates und Patches sind, um Schwachstellen und Sicherheitslücken zu schließen und so Cyberattacken zu verhindern. Jetzt ist bekannt geworden, dass es bei Microsoft eine Office-Sicherheitslücke gibt, die sich mit genau diesem Vorgehen vermutlich nicht schließen lässt.
Betroffen ist die E-Mailverschlüsselung der beliebten Office Suite Office 365. Sie erfreut sich vor allem in Betrieben an großer Beliebtheit und wird häufig eingesetzt. Doch nun droht Usern eine große Gefahr, denn Sicherheitsforscher haben herausgefunden, dass sich das Verschlüsselungsverfahren der Software umgehen lässt. Cyberkriminellen Hackern öffnen sich Tür und Tor.
Die Sicherheitsforscher von WithSecure haben die Sicherheitslücke bereits im Januar 2022 entdeckt und Microsoft informiert. Der Konzern hat bislang keine Lösung des schwerwiegenden Problems veröffentlicht.
Selbst scheinbar gut verschlüsselte E-Mail können von den Angreifern gelesen werden. Bild: Pexels/George Becker
Sicherheitslücke in der Entschlüsselung
Die Microsoft-Office-Sicherheitslücke liegt in der Entschlüsselung, genauer gesagt in der Microsoft Office 365 Message Encryption (OME). Bei der Verschlüsselung mit AES wird auf den unsicheren ECB-Modus (Electronic Code Book Mode) gesetzt. Er gibt strukturelle Informationen der Nachrichten preis.
Das Problem: Bekommen Hacker Zugriff auf viele E-Mails, können die Hacker per Abgleich und Analyse der Position und Häufigkeit von Mustern auf die Inhalte der Nachrichten schließen. Das wiederum bedeutet: Selbst verschlüsselte E-Mails sind nicht komplett vor Angriffen geschützt und können gelesen werden. Allerdings nur, wenn sie in großen Mengen abgefangen werden – einzelne E-Mails gelten nach wie vor als sicher.
Zwar ist der Aufwand, E-Mails auf diese Art zu entschlüsseln, sehr hoch, doch für die Kriminellen durchaus lohnenswert – vor allem, wenn es um Wirtschaftsspionage und Ähnliches geht. Weitere Infos zur Datenver- und -entschlüsselung bekommen Sie in unserem Blogbeitrag Hash-Funktionen.
Office-Sicherheitslücke in Betrieben
Während Privatpersonen nicht die Zielgruppe der aktuellen Office-Sicherheitslücke darstellen, sind Betriebe umso mehr in Gefahr. Schafft es ein krimineller Angreifer, auf E-Mail-Archive oder Backups zuzugreifen oder sogar auf den E-Mail-Server, kann er die verschlüsselten Nachrichten auf Muster abgleichen und analysieren, und so die Verschlüsselung umgehen.
Besonders gefährdet sind laut Sicherheitsforscher von WithSecure alle diejenigen, die Microsoft Office 365 Message Encryption (OME) zur Verschlüsselung verwenden. Aber auch, wer seine Kommunikationspartner oder Quellen nicht veröffentlicht wissen will, ist gefährdet. Beispiel hierfür sind Ärzte und Journalisten.
Da Microsoft bislang keinen Sicherheitspatch für die seit Januar bekannte Office-Sicherheitslücke bereitstellt, liegt es in der Verantwortung jedes Einzelnen, für die IT-Sicherheit in seinem Betrieb zu sorgen, PC-SPEZIALIST unterstützt Sie mit seinem IT-Basisschutz gern dabei. Kontaktieren Sie uns uns lassen Sie sich unverbindlich beraten.
_______________________________________________
Andere Stimmen zum Thema: Venture Beat, PC Welt, Golem
Ich habe zwei kritische Rückmeldungen zum Artikel, die grwvierenste ist, dass nahezu alles hier beschriebene falsch, uninformiert und manipulativ ist.
Es gibt keine Blockchriffre „Electronic Codeback“, die durch die Office 355 Suite eingesetzt wird. O365 setzt auf AES256, welcher im Betriebsmodus „Electronic Code Book“ (ECB) betrieben wird. Dieser Betriebsmodus ist keine schwerwiegende Sicherheitslücke, sondern ein state of the art Vorgehen, welches sog. statistische Angriffe ermöglicht. (im Office wird hingegen der GCM eingesetzt, der, bei falscher implementation, replay Attacken ermöglicht).
Kurz um, für eine Seite, die sich PC spezialist schimpft wirklich schlecht recherchiert.
Hallo C. Stradomsky!
Uns ist leider ein Fehler unterlaufen, indem wir „Eletronic Codeback“ anstelle von „Eletronic Code Book“ geschrieben haben. Diesen Fehler haben wir korrigiert. Dennoch gilt der ECB-Modus wegen der beschriebenen Gründe als unsicher. Die US-Standardisierungsbehörde NIST schreibt dazu: „Die Verwendung von ECB zur Verschlüsselung vertraulicher Informationen [stellt] eine ernsthafte Sicherheitslücke dar“.
Viele Grüße
Ihr PC-SPEZIALIST-Team