ايتنا - حمله ای که ویژگی امنیتی Safe Links را در آفیس 365 دور می‌زند!

به تازگی محققان امنیتی روشی را کشف کرده‌اند که گروه های هکری با استفاده از آن توانسته‌اند ماژول امنیتی مایکروسافت آفیس 365 را که در اصل برای حفاظت از کاربران مقابل حملات فیشینگ و بدافزارها طراحی شده است را دور بزنند.

به گزارش سرویس اخبار تکنولوژی از کسپرسکی آنلاین، این ماژول در نرم افزار 365 آفیس به عنوان یک راهکار امنیتی پیشرفته ATP وجود دارد که تمام URLها را در ایمیل‌های دریافتی با URLهای امن مایکروسافت جایگزین می کند.

بنابراین هر بار که کاربر بر روی یک لینک در ایمیل کلیک می‌کند ابتدا به یک دامنه متعلق به مایکروسافت هدایت می شود که مایکروسافت فورا URL اصلی را برای وجود هرگونه مورد مشکوکی بررسی می‌کند. در صورتی که اسکنر مایکروسافت مورد مخربی را بررسی کند به کاربران در مورد آن هشدارهای لازم را می دهد و در صورتی که موردی یافت نشود کاربر به URL اصلی هدایت می شود.

با این حال محققان شرکت امنیتی Avanan نشان داده‌اند که مهاجمان چگونه از طریق تکنیک baseStriker attack از ویژگی Safe Links در مایکروسافت عبور کرده اند.

حمله BaseStriker شامل برچسب <base> در هدر یک ایمیل HTML است که برای تعیین یک URI پایگاه پیش ‌فرض یا یک URL برای لینک‌های وابسته در یک سند یا صفحه وب مورد استفاده قرار می گیرد.
به بیانی دیگر، اگر URL از نوع <base> تعریف شده باشد، تمام لینک ‌های مرتبطِ بعد از آن، از آن URL به‌عنوان نقطه شروع استفاده می‌کنند.

همانطور که در تصویر بالا نشان داده شده است محققان امنیتی یک کد HTML مربوط به یک ایمیل فیشینگ را با یک کد که از برچسب <base> برای توزیع لینک مخرب استفاده می‌کند، به‌ طوری که ویژگی Safe Links قادر به شناسایی و جایگزینی آن لینک نباشد را مقایسه کردند که درنهایت قربانیان را هنگام کلیک به سایت‌های فیشینگ هدایت می‌ کند.

محققان این حمله را بر روی پیکربندی تست کردند و یافتند که هر کاربری که از آفیس 365 استفاده می کند، اسیب پذیر است. چه این پیکربندی ها کلاینت اینترنت باشند، چه برنامه تلفن همراه یا یک برنامه دسکتاپ اوت لوک!

تا به حالا محققان امنیتی مجرمانی که تنها از حمله baseStriker برای ارسال ایمیل های فیشینگ استفاده کرده اند را مشاهده کرده‌اند اما بر این باور هستند که این حمله می تواند برای توزیع باج افزارها، بدافزارها و دیگر نرم افزارهای مخرب مورد استفاده قرار گیرد.

Avanan این مسئله را به کمپانی مایکروسافت و Proofpoint گزارش داده است اما تا به حال هیچ راهکاری برای آن ارائه نشده است.