Hacker verwenden Zero-Width SPaces um MS Office 365 Schutz zu umgehen

Sicherheits Forscher warnen schon seit einer geraumen Zeit vor einer einfachen Technik, welche Cyberkriminalität und Email Betrüger benutzen, um Sicherheits Faktoren von Microsoft Office 365 zu umgehen. Auch Safe Links sind inkludiert, welche ja eigendlich dafür designt wurden, Nutzer vor Malware und Phishing Angriffen zu schützen.

Safe Links wurde von Microsofr Office 365 inkludiert als Teil von der ATP (Fortgeschrittener Bedrohungs Schutz) Lösung, welche funktioniert, indem URLs von einer ankommenden Email ersetzt werden für eine Microsoft angehörige sichere URL.

Dafür, jedes mal wenn ein Nutzer auf diesen zur Verfügung gestellten Link klickt, werden diese an eine von Microsoft angehörige Domain geschickt, wo alle orginalen Links auf verdächtiges Material geprüft werden. Wenn Microsofts Sicherheits Scanner irgendetwas entdeckt, wird der Benutzer gewarnt – wenn alles in Ordnung erscheint, kommt der Nutzer direkt an die Orginalseite.

Trotzdem, Forscher von der Cloud Sicherheits Firma Avanan haben herausgefunden, wie Angreifer diese Sicherheitsvorkehrungen von Office 365 direkt umgehen können, indem sie Zero-Width Spaces (ZWSPs) verwenden.

Von allen modernen Internetbrowser unterstützt, sind zero-width spaces (unten angeführt) nicht-druckende Unicode Zeichen, welche typischerweise dazu verwendet werden, Zeilenubrüche in langen Wörtern zu ermöglichen und die meisten Applikationen behandeln diese wie normale Leerzeichen, obwohl sie für das Auge nicht erkennbar sind.

Zero Width Space Phishing Angriff Demonstartion

Laut der Forscher fügen Angreifer einfach mehrere Zero-width Spaces in die URL einer Phishing Email und brechen damit das URL Muster so, dass es Microsoft nicht als Link erkennt.

„Microsoft Email Verarbeitungsprozess erkennt diese URL als legitime URL an und keine angewandte URL Durchsuchung, noch umgewandelt mit Safe Links für post- Klick Untersuchung fand einen Fehler,“ sagen die Forscher in einem Blog Post, welcher am Mittwoch veröffentlicht wurde.

„Die Email war an den vorhergesehenen Empfänger geliefert worden; aber in der Inbox sah niemand die ZWSPs in der URL.“

Trotzdem, wenn die Benutzer nun diesen Link anklicken in der Email, wurden Sie zu einer Zeugnisernten Phishing Internetseite weitergeleitet.

Forscher haben außerdem ein Video zur Verfügung gestellt, welches demonstriert, was passiert, wenn eine Virenversäuchte URL zu Office 365 Inbox ohne ZWSPs in der URL und mit ZWSP in der URL geschickt wird.

Die Z-WASP Attacke ist eine weitere Kette in der Liste von Ausbeutung, inkludiert sind baseStriker und ZeroFont Attacken, welche dazu designt sind Viren zu verschleiern und Microsoft Office 365 Sicherheit zu verwirren.

Die Sicherhiets Firma fand Z-WASP Angriffe bei über 90 Prozent von Avanas Office 365 Nutzern und meldete dieses Problem an Microsoft im November 10th des letzten Jahres, nachdem die Natur dessen geprüft wurde.

Avanan arbeitet seitdem stetig mit dem Microsoft Sicherheitsteam an der Beurteilung des Umfangs der Schwachstelle, welche am neunten Jänner addressiert wurde.

Leave a Reply

Your email address will not be published. Required fields are marked *