Les pirates trouvés en utilisant une nouvelle façon de contourner les liens sécurisés de Microsoft Office 365

Les chercheurs en sécurité ont révélé que certains groupes de piratage ont été trouvés en utilisant dans la nature pour contourner une fonctionnalité de sécurité de Microsoft Office 365, qui a été conçu à l’origine pour protéger les utilisateurs contre les attaques de logiciels malveillants et d’hameçonnage.

Baptisée Safe Links, cette fonctionnalité a été incluse dans le logiciel Office 365 dans le cadre de la solution ATP (Advanced Threat Protection) de Microsoft qui remplace toutes les URL d’un e-mail entrant par des URL sécurisées appartenant à Microsoft.

Ainsi, chaque fois qu’un utilisateur clique sur un lien fourni dans un e-mail, il envoie d’abord l’utilisateur à un domaine appartenant à Microsoft, dans lequel la société vérifie immédiatement l’URL d’origine à la recherche de tout élément suspect. Si les scanners de Microsoft détectent un élément malveillant, il en avertit les utilisateurs et, dans le cas contraire, redirige l’utilisateur vers le lien d’origine.

Cependant, les chercheurs de la société de sécurité cloud Avanan ont révélé comment les attaquants ont contourné la fonction Safe Links en utilisant une technique appelée " attaque de baseStriker ".

L’attaque BaseStriker implique l’utilisation de la balise <base> dans l’en-tête d’un e-mail HTML - qui est utilisé pour définir un URI de base par défaut, ou URL, pour les liens relatifs dans un document ou une page Web.

En d’autres termes, si l’URL <base> est définie, tous les liens relatifs suivants utiliseront cette URL comme point de départ.

Comme le montre la capture d’écran ci-dessus, les chercheurs ont comparé le code HTML d’un e-mail d’hameçonnage traditionnel à celui qui utilise une balise <base> pour séparer le lien malveillant de sorte que Safe Links ne parvienne pas à identifier et remplacer l’hyperlien partiel. victimes sur le site d’hameçonnage, lorsqu’on clique dessus.

Les chercheurs ont même fourni une démonstration vidéo, qui montre l’attaque de baseStriker en action.

Les chercheurs ont testé l’attaque de baseStriker contre plusieurs configurations et ont constaté que "quiconque utilise Office 365 dans n’importe quelle configuration est vulnérable", qu’il s’agisse d’un client Web, d’une application mobile ou d’une application de bureau OutLook.

Proofpoint est également vulnérable à l’attaque de baseStriker. Toutefois, les utilisateurs de Gmail et ceux qui protègent leur Office 365 avec Mimecast ne sont pas concernés par ce problème.

Jusqu’à présent, les chercheurs n’ont vu que des pirates utilisant l’attaque de baseStriker pour envoyer des courriels d’hameçonnage, mais ils croient que l’attaque peut être utilisée pour distribuer des rançongiciels, des logiciels malveillants et d’autres logiciels malveillants.

Avanan a signalé le problème à Microsoft et à Proofpoint le week-end dernier, mais aucun correctif n’est disponible pour résoudre le problème au moment de la rédaction.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image