Obwohl Microsofts Office-Programm Outlook gespeicherte Kennwörter verschlüsselt, lassen sich die Passwörter vergleichsweise einfach auslesen. Mit einem einfachen API-Aufruf können fremde Tools an die Daten gelangen. Daher sollten Nutzer ihre Kennwörter selbst verwalten.
Wie Borncity schreibt, verwenden Microsofts Outlook-Entwickler die Windows-Registry, um Passwörter für den Zugriff auf IMAP-Konten abzulegen. Dabei werden die Kennwörter nicht im Klartext gespeichert, sondern zunächst mithilfe der Data-Protection-API (DPAPI) verschlüsselt. Bei der DPAPI handelt es sich um eine mit Windows 2000 in das Betriebssystem integrierte Schnittstelle, die Daten symmetrisch verschlüsseln kann. Die API wird häufig verwendet, um asymmetrische Schlüssel aufzubewahren. Der Hauptschlüssel wird aus dem Passwort des Nutzers abgeleitet und steht so im eingeloggten Zustand zur Verfügung.
https://twitter.com/x/status/1527422972285403139
Da die Windows-Registry mit keinem besonderen Zugriffsschutz ausgestattet ist, kann jedes beliebige Programm auf die Einträge zugreifen, nachdem der Nutzer sich angemeldet hat und die entsprechende Anwendung ausgeführt wurde. Die Verschlüsselung mit der DPAPI bringt keinen nennenswerten Vorteil mit sich. Ein Aufruf der Funktion "CryptUnprotectData()" reicht aus, um den Inhalt zu entschlüsseln und im Klartext zurückzugeben. Hiermit kann eine bösartige App das Mail-Passwort herausfinden und anschließend weiterleiten.
Weiteres Verschlüsselungs-Problem in Office 365 entdeckt
Erst vor wenigen Tagen wurde ein weiteres Verschlüsselungs-Problem in Zusammenhang mit Office 365 bekannt. Die Microsoft Office 365 Message Encryption (OME) nutzt ein Verfahren, welches unter Umständen Attacken zulässt. Durch die Blockchiffre Electronic Codebook (ECB) können Angreifer strukturelle Informationen über eine Nachricht herausfinden. Obwohl einzelne E-Mails sicher verschlüsselt sind, haben Hacker mit einem abgefangenen Archiv die Möglichkeit, den Algorithmus statistisch anzugreifen. Die Schwachstelle betrifft alle Verfahren im ECB-Modus. Entwickler sollten Cipher Block Chaining (CBC) verwenden.
Quelle; winfuture
Wie Borncity schreibt, verwenden Microsofts Outlook-Entwickler die Windows-Registry, um Passwörter für den Zugriff auf IMAP-Konten abzulegen. Dabei werden die Kennwörter nicht im Klartext gespeichert, sondern zunächst mithilfe der Data-Protection-API (DPAPI) verschlüsselt. Bei der DPAPI handelt es sich um eine mit Windows 2000 in das Betriebssystem integrierte Schnittstelle, die Daten symmetrisch verschlüsseln kann. Die API wird häufig verwendet, um asymmetrische Schlüssel aufzubewahren. Der Hauptschlüssel wird aus dem Passwort des Nutzers abgeleitet und steht so im eingeloggten Zustand zur Verfügung.
https://twitter.com/x/status/1527422972285403139
Da die Windows-Registry mit keinem besonderen Zugriffsschutz ausgestattet ist, kann jedes beliebige Programm auf die Einträge zugreifen, nachdem der Nutzer sich angemeldet hat und die entsprechende Anwendung ausgeführt wurde. Die Verschlüsselung mit der DPAPI bringt keinen nennenswerten Vorteil mit sich. Ein Aufruf der Funktion "CryptUnprotectData()" reicht aus, um den Inhalt zu entschlüsseln und im Klartext zurückzugeben. Hiermit kann eine bösartige App das Mail-Passwort herausfinden und anschließend weiterleiten.
Weiteres Verschlüsselungs-Problem in Office 365 entdeckt
Erst vor wenigen Tagen wurde ein weiteres Verschlüsselungs-Problem in Zusammenhang mit Office 365 bekannt. Die Microsoft Office 365 Message Encryption (OME) nutzt ein Verfahren, welches unter Umständen Attacken zulässt. Durch die Blockchiffre Electronic Codebook (ECB) können Angreifer strukturelle Informationen über eine Nachricht herausfinden. Obwohl einzelne E-Mails sicher verschlüsselt sind, haben Hacker mit einem abgefangenen Archiv die Möglichkeit, den Algorithmus statistisch anzugreifen. Die Schwachstelle betrifft alle Verfahren im ECB-Modus. Entwickler sollten Cipher Block Chaining (CBC) verwenden.
Quelle; winfuture