Ошибка кроется в сервисе шифрования сообщений Microsoft Office. Благодаря ей киберпреступники смогли раскрыть блочный шифр электронной кодовой книги, которая содержит в себе информацию о структуре каждого отправленного сообщения.
Несмотря на то, что эта уязвимость не может полностью раскрыть содержимое переписки, злоумышленник имеет возможность сопоставить шаблоны электронных писем и раскрыть защищенную информацию путем логического вывода.
«Злоумышленник, который получает доступ к зашифрованным электронным письмам, может извлечь некоторую информацию из зашифрованных писем. В зависимости от характеристик содержимого электронной почты раскрытие может быть (почти) полным или частичным», — заявил главный консультант по безопасности в WithSecure Гарри Синтонен.
В WithSecure утверждают, что уведомили Microsoft об уязвимости еще в начале 2022 года. Несмотря на то, что IT-гигант отблагодарил исследователей и даже выплатил им денежное вознаграждение, ошибка так и не была устранена и остается в системе и по сей день.