Beveiligingssignatuur in Microsoft Office blijkt helemaal niet veilig
Beveiligingssignaturen moeten ervoor zorgen dat je weet welke bestanden te vertrouwen zijn en welke niet. Microsoft Office gebruikt daarvoor zogenaamde Office Open XML (OOXML)-handtekeningen. Nu blijkt dat er in die handtekeningen een aantal kwetsbaarheden zitten. Daardoor kunnen Office-bestanden aangepast worden zonder dat daar sporen van achterblijven. Het is zelfs mogelijk om Office-bestanden te fabriceren en deze echt te doen lijken met zo’n handtekening.
Dat er een probleem was met de veiligheidssignaturen werd ontdekt door onderzoekers van de Ruhr Universität in Bochum, Duitsland. De auteurs delen hun bevindingen in een paper die de titel “Every Signature is Broken: On the Insecurity of Microsoft Office’s OOXML Signatures” meekrijgt.
In de paper zetten de onderzoekers uiteen hoe ze onregelmatigheden terugvonden in de structuur van Office-documenten en in de manier waarop deze geverifieerd worden. Op basis van de onregelmatigheden werden vijf verschillende manieren gevonden om Office-bestanden als het ware te kapen en van een valse handtekening te voorzien. Opmerkelijk is dat de procedures werken voor alle versies van Microsoft Office, ongeacht of je die op Windows, macOS of Linux gebruikt. Ook OnlyOffice, dat gebruikt maakt van dezelfde OOXML-standaard, is kwetsbaar.
Drie grote problemen
De problemen voor OOXML zijn drieërlei. Een eerste probleem is het gedeeltelijke karakter van OOXML-handtekeningen. Steeds wordt maar een deel van het document gehandtekend en geverifieerd. Delen van het document zijn dus simpelweg niet beveiligd met een digitale handtekening. Door de manier waarop documenten ingeladen worden zou het bovendien mogelijk zijn om niet-gehandtekende informatie aan een document toe te voegen. Tot slot is het verificatieproces voor digitale handtekeningen veel te gecompliceerd, en zou het heel wat makkelijker kunnen.
Volgens de onderzoekers vormt dat gedeeltelijke karakter het grootste probleem. Aanvankelijk zat dat probleem ook in andere bestandsformaten zoals .ODF, gekend van de tekstverwerkers van OpenOffice en LibreOffice. Voor die bestandsformaten is het OOXML-probleem echter al lang weggewerkt.
Probleem is gekend
Dat is bij Microsoft voorlopig nog niet het geval. Hoewel de onderzoekers hun bevindingen kenbaar maakten bij Microsoft, valt het lek nog steeds uit te buiten. Eén van de onderzoekers ontwikkelde zelfs een tool die zo’n OOXML-handtekening kan nabootsen met minimale moeite. Volgens Microsoft behoeft het probleem echter geen dringende aandacht.
Bestanden met beveiligingssignaturen worden vooral gebruikt door overheden en grote organisaties, en dan vooral voor interne communicatie. Het is dus moeilijk te becijferen wat de impact van het gat in de veiligheidssignaturen precies is.