hacker vượt qua safe links của office 365

Lỗ hổng trên Microsoft Office 365 được hacker sử dụng để phát tán liên kết lừa đảo

May 9, 2018 | vietsunshine

Các nhà nghiên cứu phát hiện phát hiện ra một nhóm hacker đã vượt qua tính năng bảo mật của Microsoft Office 365, vốn được thiết kế để bảo vệ người dùng khỏi phần mềm độc hại và tấn công lừa đảo.

Được gọi là Safe Links (liên kết an toàn), tính năng này đã được đưa vào phần mềm Office 365 như một phần của giải pháp bảo mật đe dọa nâng cao (Advanced Threat Protection – ATP) của Microsoft hoạt động bằng cách thay thế tất cả các URL trong email đến bằng các URL bảo mật do Microsoft sở hữu.

Vì vậy, mỗi khi người dùng nhấp vào liên kết được cung cấp trong email, trước tiên người dùng sẽ gửi người dùng đến một tên miền do Microsoft sở hữu, nơi công ty kiểm tra ngay URL ban đầu cho bất kỳ điều gì đáng ngờ. Nếu máy quét của Microsoft phát hiện bất kỳ phần tử độc hại nào, nó sẽ cảnh báo người dùng về nó và nếu không, nó sẽ chuyển hướng người dùng đến liên kết ban đầu.

Tuy nhiên, các nhà nghiên cứu tại công ty bảo mật đám mây Avanan đã tiết lộ những kẻ tấn công vượt qua tính năng Safe Links bằng cách sử dụng một kỹ thuật được gọi là “baseStriker attack.”

BaseStriker attack liên quan đến việc sử dụng thẻ <base> trong tiêu đề của một email HTML – được sử dụng để xác định URL cơ sở mặc định hoặc URL, cho các liên kết quen thuộc (relative links) trong tài liệu hoặc trang web.

Nói cách khác, nếu URL <base> được xác định, thì tất cả các liên kết tương đối tiếp theo sẽ sử dụng URL đó làm điểm bắt đầu.

baseStriker attack

Như ảnh phía trên, các nhà nghiên cứu đã so sánh mã HTML của một email lừa đảo truyền thồng với một email sử dụng thẻ <base> để phân tách liên kết độc hại theo cách mà Safe Links sẽ thất bại trong việc xác định và thay thế hyberlink, và khi được nhấp, nạn nhân sẽ được chuyển hướng đến một trang web lừa đảo.

Dưới đây là video demo cho thấy cách thức hoạt động của baseStriker attack:

Các nhà nghiên cứu đã thử nghiệm tấn công baseStriker chống lại một số cấu hình và nhận thấy rằng “bất kỳ ai sử dụng Office 365 trong bất kỳ cấu hình nào đều có lỗ hổng”, có thể là ứng dụng khách trên nền web, ứng dụng di động hoặc ứng dụng máy tính để bàn của OutLook.

Proofpoint cũng dễ bị tấn công baseStriker. Tuy nhiên, người dùng Gmail và những người bảo vệ Office 365 của họ với Mimecast không bị ảnh hưởng bởi sự cố này.

Cho đến nay, các nhà nghiên cứu chỉ nhìn thấy tin tặc sử dụng tấn công baseStriker để gửi email lừa đảo, nhưng họ tin rằng cuộc tấn công có thể được sử dụng để phân phối malware, ransomware và malicious.

Avanan đã báo cáo vấn đề này cho cả Microsoft và Proofpoint vào cuối tuần trước, nhưng không có bản vá nào có sẵn để khắc phục vấn đề tính tới thời điểm này.

Tags: , , , ,