Die Verschlüsselung von Office (Office 365 Message Encryption, OME) ist
laut Sicherheitsforschern von Withsecure nicht wirklich sicher genug, wie "Golem"
berichtet. Der eingesetzte ECB-Modus (Electronic Code Book Mode) lässt es zu, dass zumindest Teile der verschlüsselten Objekte recht einfach wiederhergestellt werden können und damit potenziell für Dritte sichtbar sind. Experten sprechen von einer ernsthaften Sicherheitslücke.
Vor allem wenn mehrere mit ECB verschlüsselte Elemente vorhanden sind, wird das Ableiten des Inhaltes möglich. Wenn also bei einem Breach mehrere Nachrichten gestohlen werden können, wird der Prozess massgeblich vereinfacht. Offenbar wird bei
Microsoft aber aus Kompatibilitätsgründen nach wie vor auf ECB gesetzt. Microsoft sieht derweil kein Problem, wie die Withsecure-Spezialisten festhalten. "Da Micosoft keine Pläne hat, diese Schwachstelle zu beheben, besteht die einzige Möglichkeit darin, Microsoft Office 365 Message Encryption nicht zu verwenden", wie es im entsprechenden
Blogbeitrag bei Withsecure heisst.
(win)
