警告:黑客正利用零宽空格绕过 MS Office 365 防护措施
编译:360代码卫士团队
安全研究人员警告称,网络犯罪分子和邮件诈骗者正在利用一种简单技术绕过微软 Office 365 的安全功能,包括旨在保护用户免受恶意软件和钓鱼攻击的 Safe Links。
Safe Links 被 Office365 集成到高阶威胁防护 (ATP) 解决方案中,它可通过微软所有的安全 URL 替换收件箱中的所有 URL 来运作。
因此,每当用户点击邮件中的某个链接时,Safe Links 首先会将链接发送到微软所有的域名中,以检查原始链接中是否含有可疑内容。如果微软的安全扫描器检测到任何恶意元素,它向用户发出警告信息,如未发现则将用户重定向至原始链接。
然而,云安全公司 Avanan 的研究人员披露了攻击者如何使用零宽空格 (ZWSPs) 绕过 Office 365 的URL 名誉检测和 Safe Links URL 防护功能。
零宽字符受所有现代 web 浏览器的支持好,它们是非打印的 Unicode 字符,通常用于启用长词中的自动换行,而且多数应用程序将其处理为常规的空格,即使肉眼并不可见。
零宽空格钓鱼攻击演示
研究人员表示,攻击者仅通过在恶意 URL 中插入多个零宽空格就能破坏微软无法识别为链接的 URL 模式。
然而,当终端用户点击邮件中的这个链接时,会登录到凭证捕获钓鱼网站上。研究人员也在演示视频中展示了将恶意 URL 发送到 Office 365 收件箱且没有在 URL 中插入和不插入 ZWSP 字符时发生的情况。
Z-WASP 攻击是多个利用列表中的另外一个链,包括 baseStriker 和 ZeroFont 攻击。这些利用旨在混淆恶意内容并绕过微软 Office 365 的安全措施。
研究人员在超过90%使用 Office 365 的 Avanan 公司客户中发现了 Z-WASP 攻击,并在去年11月10日将问题告知微软。之后,Avanan 公司和微软一道评估了该漏洞的影响范围,并在2019年1月9日予以修复。
推荐阅读
原文链接
https://thehackernews.com/2019/01/phishing-zero-width-spaces.html
本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士 www.codesafe.cn”。