Hacker tìm ra cách qua mặt Microsoft Office 365 Safe Links

Các nhà nghiên cứu bảo mật vừa tiết lộ cách hacker vượt qua tính năng bảo mật Safe Links của Microsoft Office 365, dùng để bảo vệ người dùng khỏi malware và tấn công lừa đảo.

Safe Links có trong phần mềm Office 365, nằm trong bộ giải pháp Advanced Threat Protection (ATP) của Microsoft, thay thế tất cả URL trong email bằng URL an toàn của Microsoft.

Khi người dùng click vào link trong email, nó sẽ được gửi tới tên miền cho Microsoft sở hữu để kiểm tra nguồn gốc URL. Nếu phát hiện có mã độc, nó sẽ cảnh báo người dùng và nếu không, sẽ chuyển hướng người dùng về link ban đầu.

Tuy vậy, các nhà nghiên cứu tại công ty về bảo mật đám mây Avanan đã tiết lộ cách vuotj qua tính năng này bằng kỹ thuật gọi là baseStriker.

BaseStriker dùng thẻ <base> trong phần tiêu đề của email HTML, dùng để định nghĩa URL hoặc URL mặc định cho các link liên quan trong trang web hoặc văn bản.

Nếu URL <base> được định nghĩa, tất cả các link liên quan sau đó sẽ dùng URL đó như một phần tiền tố.

Kiểu lừa đảo truyền thống

Kiểu tấn công của BaseStriker

Như trong 2 hình trên, khi dùng thẻ <base> để chia tách link nhiễm độc, Safe Links không thể xác định và thay thế link, cuối cùng người dùng vẫn bị đưa tới trang nhiễm mã độc khi click vào.

Các nhà nghiên cứu đã thử dùng baseStriker và cho biết “bất kì ai dùng Office 365 với bất kì thiết lập cài đặt nào đều có khả năng bị ảnh hưởng”, dù là bản web, di động hay cài trên destkop.

Proofpoint cũng có khả năng bị ảnh hưởng. Người dùng Gmail hoặc dùng Office 365 với Mimecast thì không.

Xem thêm:

• Phiên bản Office 365 của Microsoft được hỗ trợ chống mã độc tống tiền
• Hacker đang sử dụng các lỗ hổng mới của Microsoft Office để phân phối phần mềm độc hại
• Hacker khai thác 3 lỗ hổng trên Microsoft Office để phát tán malware Zyklon