Hacker tìm ra cách qua mặt Microsoft Office 365 Safe Links

Các nhà nghiên cứu bảo mật vừa tiết lộ cách hacker vượt qua tính năng bảo mật Safe Links của Microsoft Office 365, dùng để bảo vệ người dùng khỏi malware và tấn công lừa đảo.

Safe Links có trong phần mềm Office 365, nằm trong bộ giải pháp Advanced Threat Protection (ATP) của Microsoft, thay thế tất cả URL trong email bằng URL an toàn của Microsoft.

Khi người dùng click vào link trong email, nó sẽ được gửi tới tên miền cho Microsoft sở hữu để kiểm tra nguồn gốc URL. Nếu phát hiện có mã độc, nó sẽ cảnh báo người dùng và nếu không, sẽ chuyển hướng người dùng về link ban đầu.

Tuy vậy, các nhà nghiên cứu tại công ty về bảo mật đám mây Avanan đã tiết lộ cách vuotj qua tính năng này bằng kỹ thuật gọi là baseStriker.

BaseStriker dùng thẻ <base> trong phần tiêu đề của email HTML, dùng để định nghĩa URL hoặc URL mặc định cho các link liên quan trong trang web hoặc văn bản.

Nếu URL <base> được định nghĩa, tất cả các link liên quan sau đó sẽ dùng URL đó như một phần tiền tố.

Kiểu lừa đảo truyền thống
Kiểu lừa đảo truyền thống

Kiểu tấn công của BaseStriker
Kiểu tấn công của BaseStriker

Như trong 2 hình trên, khi dùng thẻ <base> để chia tách link nhiễm độc, Safe Links không thể xác định và thay thế link, cuối cùng người dùng vẫn bị đưa tới trang nhiễm mã độc khi click vào.

Các nhà nghiên cứu đã thử dùng baseStriker và cho biết “bất kì ai dùng Office 365 với bất kì thiết lập cài đặt nào đều có khả năng bị ảnh hưởng”, dù là bản web, di động hay cài trên destkop.

Proofpoint cũng có khả năng bị ảnh hưởng. Người dùng Gmail hoặc dùng Office 365 với Mimecast thì không.

Xem thêm:

Thứ Năm, 10/05/2018 14:28
31 👨 284
0 Bình luận
Sắp xếp theo
    ❖ Tấn công mạng