黑客利用新方法绕过Office 365安全机制跳转钓鱼网址

 

微软的Outlook safelink钓鱼安全研究人员透露，一些黑客组织已经发现了方法可以绕过Microsoft Office 365的安全机制，该功能最初旨在保护用户免受恶意软件和网络钓鱼攻击。现在可以插入代码用户点击不会提示而跳转到任意网址。

Office 365软件中已经包含有安全机制，作为Microsoft高级威胁防护（ATP）解决方案的一部分，该解决方案通过使用Microsoft拥有的安全URL替换传入电子邮件中的所有URL来工作。

因此，用户每次点击电子邮件中提供的链接时，都会首先将用户发送到Microsoft拥有的域，在该域中公司会立即检查原始URL是否存在任何可疑内容。如果微软的扫描仪检测到任何恶意元素，它就会向用户发出警告，如果没有，它会将用户重定向到原始链接。

然而，云安全公司Avanan的研究人员已经透露了攻击者是如何通过使用名为“ baseStriker攻击 ” 的技术绕过安全链接功能的。

BaseStriker攻击涉及在HTML电子邮件的标头中使用<base>标记，该标记用于为文档或网页中的相关链接定义默认基本URI或URL。

换句话说，如果定义了<base> URL，那么后面的所有相关链接都将使用该URL作为起点。

微软的Outlook safelink钓鱼思路
 
如上图所示，研究人员将传统钓鱼邮件的HTML代码与使用<base>标签的HTML代码进行比较，让安全链接无法识别和替换部分超链接，最终重定向点击时，让受害者进入钓鱼网站。

研究人员甚至提供了一个视频演示，其中展示了baseStriker是如何进行攻击。
研究人员针对多种配置测试了baseStriker攻击，并发现“任何人在任何配置下使用Office 365都容易受到攻击”，无论是基于Web的OutLook客户端，移动应用程序还是桌面应用程序。

Proofpoint也容易受到baseStriker攻击。但是，Gmail用户以及使用Mimecast保护Office 365的用户不会受到此问题的影响。
到目前为止，研究人员只看到黑客利用baseStriker攻击发送钓鱼邮件，他们认为这种攻击可以用来散播勒索软件，恶意软件和其他恶意程序。

 
Avanan上周末早些时候向微软和Proofpoint报告了这个问题，但是在撰写本文时没有可用于解决问题的补丁。

演示视频：https://v.qq.com/x/page/e0648yaf1dy.html

来源：https://thehackernews.com/2018/05/microsoft-safelinks-phishing.html

本文由华盟网-黑白之道编辑翻译，转载请注明来源

你可能喜欢

最新变种利用OFFICE漏洞绕过多家杀软

Office宏攻击

近期恶意office宏附件的一些变化