Avanan 公司的安全研究员发现了名为 “baseStriker” 的 0day 漏洞,它可导致恶意人员发送恶意邮件,绕过 Office 365 账户的安全系统。
上周(5月1日)研究员发现了这个漏洞,它存在于 Office 365 服务器扫描所收到邮件的方式中。
“base” HTML 标签成罪魁祸首
baseStriker 漏洞的核心在于 <base> HTML 标签。这个标签很少被用到,开发人员在 HTML 文档(网页)的 <head> 部分对其进行声明,目的是为相关链接设置一个基地址。
例如,某网站可能会声明一个基地址,如下:
< base href = "https://www.example.com" / >
一旦被声明,开发人员就能够将内容链接托管在基地址上,而无需输入整个内容,如:
< img src = "/images/slider/photo-1.png" / >
在内部,HTML 渲染引擎(通常是浏览器)会将这个基地址和相关路径进行融合:
< img src = "/images/slider/photo-1.png" / >
Office 365 并不支持 “base” HTML 标签
Avanan 指出,问题在于 Office 365 的安全系统似乎并不支持基地址。
攻击者只需按照下列结构发出一份富文本格式的邮件,Office 365 就无法扫描并检测托管在地址上的任何恶意软件。(见附件)
Outlook 会正确渲染这个链接,也就是说用户能够点击该链接并登录目标网页。
但 Office 365 安全系统如高阶威胁防护 (ATP) 和安全链接 (Safelinks) 并未在扫描连接之前把基地址和相对路径融合在一起,而是分开扫描每一部分。
Avanan 指出已经测试了多种邮件服务,但发现只有 Office 365 易受 baseStriker 攻击,如下表所示。
| 我使用的是…… | 我易受 baseStriker 攻击吗? |
| Office 365 | 易受攻击 |
| Office 365 with ATP and Safelinks | 易受攻击 |
| Office 365 with Proofpoint MTA | 易受攻击 |
| Office 365 with Mimecast MTA | 安全 |
| Gmail | 安全 |
| Gmail with Proofpoint MTA | 仍在测试阶段 |
| Gmail with Mimecast MTA | 安全 |
| 其它配置呢? | 如有测试需求,可与我们取得联系。 |
baseStriker 漏洞已遭利用
但 baseStriker 并不是研究人员经过数周时间公开测试之后发现的某个随机将漏洞。Avanan 公司表示是在真实攻击中发现该漏洞的。
Avanan 公司的研究员 Yoav Nathaniel 发布报告称,“截至目前,虽然我们只发现黑客在钓鱼攻击中使用了这个漏洞,但它还能传播勒索软件、恶意软件以及其它恶意内容。”
Nathaniel 表示,Avanan 联系并告知微软相关研究成果,但微软并未披露修复该漏洞的时间。笔者发现,微软已发布“补丁星期二”但并未包含对该漏洞的修复方案。
本文由360代码卫士翻译自BleepingComputer
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
