Avanan 公司的安全研究员发现了名为 “baseStriker” 的 0day 漏洞,它可导致恶意人员发送恶意邮件,绕过 Office 365 账户的安全系统

上周(5月1日)研究员发现了这个漏洞,它存在于 Office 365 服务器扫描所收到邮件的方式中。

“base”  HTML 标签成罪魁祸首

baseStriker 漏洞的核心在于 <base> HTML 标签。这个标签很少被用到,开发人员在 HTML 文档(网页)的 <head> 部分对其进行声明,目的是为相关链接设置一个基地址。

例如,某网站可能会声明一个基地址,如下:

< base href = “https://www.example.com” / >

一旦被声明,开发人员就能够将内容链接托管在基地址上,而无需输入整个内容,如:

< img src = “/images/slider/photo-1.png” / >

在内部,HTML 渲染引擎(通常是浏览器)会将这个基地址和相关路径进行融合:

< img src = “/images/slider/photo-1.png” / >

Office 365 并不支持 “base” HTML 标签

Avanan 指出,问题在于 Office 365 的安全系统似乎并不支持基地址。

攻击者只需按照下列结构发出一份富文本格式的邮件,Office 365 就无法扫描并检测托管在地址上的任何恶意软件。(见附件)

Outlook 会正确渲染这个链接,也就是说用户能够点击该链接并登录目标网页。

但 Office 365 安全系统如高阶威胁防护 (ATP) 和安全链接 (Safelinks) 并未在扫描连接之前把基地址和相对路径融合在一起,而是分开扫描每一部分。

Avanan 指出已经测试了多种邮件服务,但发现只有 Office 365 易受 baseStriker 攻击,如下表所示。

我使用的是…… 我易受 baseStriker 攻击吗?
Office 365 易受攻击
Office 365 with ATP and Safelinks  易受攻击
Office 365 with Proofpoint MTA 易受攻击
Office 365 with Mimecast MTA 安全
Gmail 安全
Gmail with Proofpoint MTA 仍在测试阶段
Gmail with Mimecast MTA 安全
其它配置呢? 如有测试需求,可与我们取得联系。

baseStriker 漏洞已遭利用

但 baseStriker 并不是研究人员经过数周时间公开测试之后发现的某个随机将漏洞。Avanan 公司表示是在真实攻击中发现该漏洞的。

Avanan 公司的研究员 Yoav Nathaniel 发布报告称,“截至目前,虽然我们只发现黑客在钓鱼攻击中使用了这个漏洞,但它还能传播勒索软件、恶意软件以及其它恶意内容。”

Nathaniel 表示,Avanan 联系并告知微软相关研究成果,但微软并未披露修复该漏洞的时间。笔者发现,微软已发布“补丁星期二”但并未包含对该漏洞的修复方案。

本文由360代码卫士翻译自BleepingComputer

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。