Новооткрита уязвимост в Office 365 позволява на киберпрестъпниците да заобикалят защитите срещу фишинг атаки и да доставят злонамерени имейли до входящите кутии на жертвите им.
Според фирмата за облачна сигурност Avanan този проблем с киберсигурността на потребителите представлява използване на интервали с нулева ширина (zero-width spaces – ZWSP) в средата на злонамерени URL адреси в рамките на raw HTML на имейлите. Методът прекъсва URL адресите, предотвратявайки способността на Microsoft системите да го разпознаят и успява да попречи на функцията Safe Links да защити потребителите.
Но това не е всичко – интервалите с нулева ширина не се визуализират, т.е. жертвата няма как да забележи добавените случайни специални символи в URL адреса, а това прави тази атака още по-опасна.
Тази уязвимост въобще не е безобидна, тъй като всички потребители на Office 365 са уязвими на фишинг атаки, дори и тези, които използват Microsoft Office 365 Advanced Threat Protection. Новата атака успява да заобикали и проверката на URL, и защитата на Safe Links.
„Открихме уязвимостта, когато забелязахме, че множество хакери използват интервали с нулева ширина (ZWSP), за да прикрият линковете във фишинг имейли към Office 365, скривайки URL адреса на фишинга от Office 365 Security и Office 365 ATP“, разказват експертите по киберсигурност от Avanan.
Те обясняват още и че интервалите с нулева ширина (ZWSP) са символи, които се пренасят в пространства с нулева ширина и могат да се разглеждат като „празно пространство“. Има пет ZWSP обекта – ​ (Zero-Width Space), ‌ (Zero-Width Non-Joiner), ‍ (Zero-Width Joiner),  (Zero-Width No-Break Space), и 0 (Full-Width Digit Zero).
При сегашните фишинг атаки хакерите „добавят Zero-Width Non-Joiner (‌) в средата на злонамерен URL в рамките на RAW HTML на имейла“, допълват от Avanan. Така системата за обработка на електронна поща не може да разпознае URL адреса като легитимен и не може да приложи защитите.
Целта на сегашната хакерска кампания е жертвата да кликне върху злонамерения линк в имейла, което да я препрати до фишинг сайт, крадящ лични входни данни и имитиращ банков сайт.
Въпреки че в суровата си HTML форма тези интервали с нулева ширина изглеждат като „миш-маш от числа и специални символи, случайно вмъкнати между букви, в дума или URL адрес“, те са невидими, когато се визуализират в браузъра, т.е. URL адресът се показва като съвсем обичаен.
Тези ZWSP са част от ежедневието на форматирането на интернет, използват се за отпечатване на статии и документи, форматиране на чужди езици и прекъсване на дълги думи в края на реда и продължаването им в следващия ред, и др.
Специалистите по киберсигурност от Avanan са нарекли новата атака Z-WASP. На практика тя е еволюирала от предишни опити за заобикаляне на сигурността на Office 365 – атаките baseStriker и ZeroFont.
Първата вълна от хакерски атаки с имейли, експлоатиращи тази уязвимост, беше засечена на 10 ноември миналата година. Миналата седмица Microsoft пусна пачове, с които да поправи проблема. Както знаем обаче, за да бъдат потребителите в безопасност, трябва да изпълняват актуализациите на защитата веднага – нещо, което не всеки прави навреме.
