东方联盟黑客安全研究人员透露,一些黑客已经发现绕过MicrosoftOffice365的安全功能,该功能最初旨在保护用户免受恶意软件和网络钓鱼攻击。
被称为安全链接的功能已被包含在Office365软件中,作为Microsoft高级威胁防护(ATP)解决方案的一部分,该解决方案通过使用Microsoft拥有的安全URL替换传入电子邮件中的所有URL来工作。
因此,用户每次点击电子邮件中提供的链接时,都会首先将用户发送到Microsoft拥有的域,在该域中,公司立即检查原始URL是否存在任何可疑内容。如果微软的扫描仪检测到任何恶意元素,它就会向用户发出警告,如果没有,它会将用户重定向到原始链接。
东方联盟研究人员已经透露了攻击者是如何通过使用称为“base攻击”的技术绕过安全链接功能的。
Base攻击涉及在HTML电子邮件的标头中使用<base>标记,该标记用于为文档或网页中的相关链接定义默认基本URI或URL。换句话说,如果定义了<base>URL,那么后面的所有相关链接都将使用该URL作为起点。
研究人员将传统钓鱼邮件的HTML代码与使用<base>标签的HTML代码进行比较,以便安全链接无法识别和替换部分超链接,最终重定向点击时,受害者进入钓鱼网站。
针对多种配置测试了base攻击,并发现“任何人在任何配置下使用Office365都容易受到攻击”,无论是OutLook的基于Web的客户端,移动应用程序还是桌面应用程序。
到目前为止,东方联盟研究人员只看到黑客利用base攻击发送钓鱼邮件,但他们认为这种攻击可以用来散播勒索软件和其他恶意软件。