کشف شیوه‌ی جدید برای دور زدن لینک‌های امن Microsoft Office 365

محققان امنیتی شیوه‌ای یافته‌اند که هکرها با استفاده از آن می‌توانند ویژگی امنیتی مایکروسافت آفیس ۳۶۵، که در اصل برای محفاظت از کاربران در مقابل نرم‌افزارهای مخرب و حملات فیشینگ طراحی شده را دور بزنند.

این قابلیت (لینک‌های ایمن)، به عنوان بخشی از راهکار مایکروسافت به منظور حفاظت در مقابل تهدیدات (ATP) در نرم افزار office 365 گنجانده شده است، که با جایگزین نمودن URLها در ایمیل‌های دریافتی با URLهای ایمن متعلق به مایکروسافت کار می‌کند.
بنابراین، هر زمان که کاربر  یکی از لینک‌های موجود در ایمیل را کلیک می‌کند، ابتدا به یک دامنه متعلق به مایکروسافت هدایت می‌شود، که در آن URL اصلی سریعاً برای بررسی هر گونه مورد مشکوکی بررسی می‌گردد. اگر اسکنر مایکروسافت مورد مخربی را شناسایی کند، به کاربر هشدار می‌دهد و در غیر اینصورت کاربر را به لینک اولیه هدایت می‌کند.
با این حال، محققان شرکت امنیتی Avanan نشان داده‌اند که چگونه مهاجمان با استفاده از تکنیکی تحت عنوان "baseStriker" لینک‌های ایمن را دور می‌زنند.
حمله BaseStriker شامل استفاده از تگ <base> در هدر یک ایمیل HTML است که به منظور تعریف یک URI پایه پیش‌فرض یا تعریف یک URL، برای لینک‌های مرتبط در یک سند یا صفحه وب استفاده می‌شود.
به عبارت دیگر اگر آدرس <base> تعریف شده باشد، تمام زیر لینک‌های مرتبط بعدی، از آن URL به عنوان نقطه آغازین استفاده می‌کنند.
همانطور که در تصویر زیر آمده است، محققان کد HTML یک ایمیل فیشینگ سنتی را با کد ایمیل دیگری که از یک تگ <base> برای جداسازی لینک مخرب استفاده می‌کند تا Safe Links قادر به شناسایی و جایگزینی هایپرلینک نباشد، مقایسه کرده‌اند. این روش در نهایت موجب می‌گردد که قربانیان هنگام کلیک بر روی لینک به سایت‌های فیشینگ هدایت شوند.

محققان حتی ویدیویی آماده کرده‌اند که حمله baseStriker را در عمل به تصویر می‌کشد. این ویدئو را در این آدرس می‌توانید ببینید.

محققان حمله  baseStriker را بر روی چندین پیکربندی تست کرده‌ و دریافته‌اند که هر کسی که از office 365 استفاده می‌کند با هر پیکربندی، آسیب‌پذیر است. چه از طریق وب‌سایت ، چه از طریق اپلیکیشن موبایل و چه از طریق اپلیکیشن Outlook .
Proofpoint نیز در مقابل حمله baseStriker آسیب‌پذیر است. با این حال، کاربران Gmail و کسانی که از office 365  خود با Mimecast محافظت می‌کنند، تحت تاثیر این مشکل نیستند.
تا کنون، محققان هکرهایی را دیده‌اند که از حمله baseStriker تنها برای برای ارسال ایمیل‌های فیشینگ استفاده کرده‌اند، اما معتقدند که این حمله می تواند برای توزیع باج‌افزارها، بدافزارها و سایر نرم‌افزار های مخرب مورد استفاده قرار گیرد.

Avanan این مسئله را در آخر هفته گذشته به مایکروسافت و Proofpoint گزارش نموده است اما تا کنون هیچ وصله‌ای برای رفع مشکل ارائه نشده است.

منبع خبر: https://thehackernews.com/2018/05/microsoft-safelinks-phishing.html