Hacker sử dụng Zero-Width Spaces để vượt qua MS Office 365 Protection

Hacker sử dụng Zero-Width Spaces để vượt qua MS Office 365 Protection

January 11, 2019 | vietsunshine

Các nhà nghiên cứu bảo mật đã cảnh báo về một kỹ thuật đơn giản mà tội phạm mạng và kẻ lừa đảo email đang sử dụng để vượt qua các tính năng bảo mật của Microsoft Office 365, bao gồm Safe Links.

Safe Links được thiết kế để bảo vệ người dùng khỏi các cuộc tấn công lừa đảo và phần mềm độc hại, đã được Microsoft đưa vào Office 365 như một phần của giải pháp ATP (Bảo vệ mối đe dọa nâng cao) hoạt động bằng cách thay thế tất cả các URL trong email đến bằng URL bảo mật do Microsoft sở hữu.

Do đó, mỗi khi người dùng nhấp vào liên kết được cung cấp trong email, Safe Links trước tiên sẽ gửi họ đến miền thuộc sở hữu của Microsoft, nơi liên kết sẽ kiểm tra ngay liên kết ban đầu xem có bất kỳ điều gì đáng ngờ không. Nếu máy quét bảo mật của Microsoft phát hiện bất kỳ yếu tố độc hại nào, thì nó sẽ cảnh báo người dùng về nó và nếu không, nó sẽ chuyển hướng họ đến liên kết ban đầu.

Tuy nhiên, các nhà nghiên cứu đã tiết lộ cách những kẻ tấn công đã bypass cả tính năng kiểm tra URL của Office 365 và các tính năng bảo vệ URL của Safe Links bằng cách sử dụng Zero-Width SPaces (ZWSPs).

Được hỗ trợ bởi tất cả các trình duyệt web hiện đại, zero-width spaces (được liệt kê bên dưới) là các ký tự Unicode non-printing  thường được sử dụng để cho phép gói dòng trong các từ dài và hầu hết các ứng dụng coi chúng là khoảng trắng thông thường, mặc dù mắt thường không nhìn thấy được.

tấn công zero-width-spaces

Demo phishing attack với Zero-Width Space

Theo các nhà nghiên cứu, những kẻ tấn công chỉ đơn giản là chèn nhiều khoảng trống có độ rộng bằng không trong URL độc hại được đề cập trong email lừa đảo của chúng, phá vỡ mẫu URL theo cách mà Microsoft không nhận ra đó là một liên kết.

Khi người dùng cuối nhấp vào liên kết trong email, họ đã được đưa đến một trang web lừa đảo để đánh cắp thông tin xác thực.

Các nhà nghiên cứu cũng cung cấp một bản trình diễn video cho thấy những gì đã xảy ra khi họ gửi URL độc hại đến hộp thư đến Office 365 mà không có bất kỳ ký tự ZWSP nào được chèn trong URL và với các ký tự ZWSP được chèn vào URL.

Cuộc tấn công Z-WASP là một chuỗi khác trong danh sách khai thác, bao gồm các cuộc tấn công baseStrikerZeroFont, được thiết kế để che giấu nội dung độc hại và gây nhầm lẫn cho Microsoft Office 365 security.

Tags: , ,