Microsoft Office: trascurare la crittografia rende i documenti insicuri

OOXML è lo standard in base al quale tutti i documenti di Office, in particolare i file di Word interessati, vengono salvati secondo le specifiche. I ricercatori di sicurezza dell’Università della Ruhr di Bochum e dell’Università di scienze applicate di Magonza hanno esaminato da vicino l’implementazione dell’opzione per proteggere questi documenti con firme digitali. Il suo regno non fu del tutto piacevole. “Lo scopo di una firma digitale è confermare l’integrità di un documento”, ha spiegato Simon Ruhlmann dell’Università di scienze applicate di Magonza. Per fare ciò, il creatore del documento utilizza una chiave privata per generare una firma basata sugli algoritmi della chiave pubblica, che il lettore può verificare con la chiave pubblica. Se qualcuno manomettesse il documento, il checksum crittografico non corrisponderebbe e sapresti che le informazioni in esso contenute non sono più attendibili. Tuttavia, gli scienziati hanno scoperto una vulnerabilità che consente di elaborare facilmente i documenti in OOXML: “Ci siamo resi conto che i documenti sono firmati solo parzialmente. Ciò significa che è possibile aggiungere nuovi contenuti o nascondere i contenuti firmati senza che nessuno lo notifichi”. Ruhlmann. Poiché l’intero file non è coperto dalla firma, la protezione è sostanzialmente inutile.

Il potenziale di rischio è maggiore di quanto si possa pensare a prima vista. Ad esempio, un utente malintenzionato può utilizzare documenti firmati per scopi di ingegneria sociale. Entre autres choses, des instruction pouvaient être envoys aux employees qui contenaient une signature valide d’un supervisorur – as the order of transferrer des sommes plus importantes du compte de l’entreprise quelque part ou de remettre certains biens appartenant aux internes de l’ a azienda. Quando gli scienziati hanno scoperto per la prima volta le vulnerabilità nel 2022, hanno immediatamente informato Microsoft e l’autorità responsabile degli standard. Tuttavia, l’azienda non ha eliminato immediatamente il problema, nonostante i ripetuti contatti dei ricercatori. Almeno quattro dei cinque punti di attacco nella versione retail di Microsoft Office 2021 sono stati eliminati dal mese scorso. Ruhlmann ha spiegato che nell’ultima versione di LTSC (a partire dal 16 giugno 2023), non sono state ancora introdotte correzioni.