Фишинговую защиту Microsoft 365 можно обойти с помощью CSS

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.130
Репутация
11.695
Реакции
61.907
RUB
50
Исследователи Certitude продемонстрировали способ обхода антифишинговой защиты в Microsoft 365 (бывший Office 365). При этом уязвимости пока не устранены.

Эксперты рассказали, что существует способ скрыть предупреждение First Contact Safety Tip. Как нетрудно понять из названия, функция First Contact Safety Tip предназначена для предупреждения пользователей Outlook о получении писем от новых контактов.

Она отображает сообщение следующего вида: «Вы нечасто получаете электронную почту с сайта [email protected]. Узнайте, почему это важно».

12-39-35_72b0267c39becc49926975f98f40c3e8_530x274.webp


Ключевым здесь является тот факт, что предупреждение добавляется непосредственно к основному телу письма в формате HTML, и в результате открываются возможности для манипуляций с CSS, встроенным в сообщение.



Исследователи Certitude пишут, что это сообщение можно легко скрыть следующим образом.



То есть цвет текста и фона изменяется на белый, размер шрифта устанавливается на 0, что в итоге скрывает предупреждение и делает его невидимым для пользователя.

Развивая эту идею дальше, специалисты обнаружили, что могут добавлять в письма дополнительный HTML-код, имитирующий иконки, которые Microsoft Outlook добавляет к зашифрованным и подписанными письмам, чтобы те выглядели защищенными. Хотя некоторые ограничения форматирования не позволяют добиться идеального визуального сходства, этот трюк все равно может помочь обойти не слишком тщательные проверки.



Исследователи отмечают, что им неизвестно о случаях эксплуатации описанных багов, и не нашли способов манипулирования HTML для отображения произвольного текста в письме.

Certitude уведомила Microsoft о своих выводах, направив разработчикам proof-of-concept и подробный отчет через портал Microsoft Researcher Portal (MSRC). Однако представители Microsoft дали исследователям следующий ответ:

«Мы пришли к выводу, что ваша информация обоснована, но не соответствует нашим критериям для немедленного реагирования, поскольку [проблема] в основном может применяться для фишинговых атак. Тем не менее, мы отметили эту информацию для дальнейшего рассмотрения в целях улучшения наших продуктов».


 
  • Теги
    microsoft 365 антифишинговая защита обход антифишинговой защиты фишинг
  • Сверху Снизу