Office 365 被曝 0day 漏洞 已被用于钓鱼攻击
翻译:360代码卫士团队
Avanan 公司的安全研究员发现了名为 “baseStriker” 的 0day 漏洞,它可导致恶意人员发送恶意邮件,绕过 Office 365 账户的安全系统。
上周(5月1日)研究员发现了这个漏洞,它存在于 Office 365 服务器扫描所收到邮件的方式中。
baseStriker 漏洞的核心在于 HTML 标签。这个标签很少被用到,开发人员在 HTML 文档(网页)的 部分对其进行声明,目的是为相关链接设置一个基地址。
例如,某网站可能会声明一个基地址,如下:
< base href = "https://www.example.com" / >
一旦被声明,开发人员就能够将内容链接托管在基地址上,而无需输入整个内容,如:
< img src = "/images/slider/photo-1.png" / >在内部,HTML 渲染引擎(通常是浏览器)会将这个基地址和相关路径进行融合:
< img src = "/images/slider/photo-1.png" / >Avanan 指出,问题在于 Office 365 的安全系统似乎并不支持基地址。
攻击者只需按照下列结构发出一份富文本格式的邮件,Office 365 就无法扫描并检测托管在地址上的任何恶意软件。
Outlook 会正确渲染这个链接,也就是说用户能够点击该链接并登录目标网页。
但 Office 365 安全系统如高阶威胁防护 (ATP) 和安全链接 (Safelinks) 并未在扫描连接之前把基地址和相对路径融合在一起,而是分开扫描每一部分。
Avanan 指出已经测试了多种邮件服务,但发现只有 Office 365 易受 baseStriker 攻击,如下表所示。
| 我使用的是…… | 我易受 baseStriker 攻击吗? |
|---|---|
| Office 365 | 易受攻击 |
| Office 365 with ATP and Safelinks | 易受攻击 |
| Office 365 with Proofpoint MTA | 易受攻击 |
| Office 365 with Mimecast MTA | 安全 |
| Gmail | 安全 |
| Gmail with Proofpoint MTA | 仍在测试阶段 |
| Gmail with Mimecast MTA | 安全 |
| 其它配置呢? | 如有测试需求,可与我们取得联系。 |
但 baseStriker 并不是研究人员经过数周时间公开测试之后发现的某个随机将漏洞。Avanan 公司表示是在真实攻击中发现该漏洞的。
Avanan 公司的研究员 Yoav Nathaniel 发布报告称,“截至目前,虽然我们只发现黑客在钓鱼攻击中使用了这个漏洞,但它还能传播勒索软件、恶意软件以及其它恶意内容。”
Nathaniel 表示,Avanan 联系并告知微软相关研究成果,但微软并未披露修复该漏洞的时间。笔者发现,微软已发布“补丁星期二”但并未包含对该漏洞的修复方案。
关联阅读
原文链接
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。