Z—WSP漏洞,网络钓鱼绕过Office 365保护

Z—WSP漏洞,网络钓鱼绕过Office 365保护

据云安全公司Avanan的研究发现,最近一些网络钓鱼活动中利用了Office 365的一个漏洞,允许他们使用零宽度空格(Z-WSP)绕过钓鱼保护并向收件人发送恶意邮件。该漏洞与电子邮件原始HTML中的恶意URL中使用的零宽度空格有关。黑客通过分割URL的方法,使得防御系统不能检测到恶意信息。在收到报告后,直到上周微软公司才修复了这一漏洞。

什么是零宽度空格?

零宽度空格,顾名思义即,具有空格的功能,但宽度为零。举个例子来说,我们在word里面按一个空格,然后选中、缩放、调间距,然后就变成了零宽度空格。有五种零宽度空格形式,分别是:

​(Zero-Width Space)

‌(Zero-Width Non-Joiner)

‍(Zero-Width Joiner)

(Zero-Width No-Break Space)

0(Full-Width Digit Zero)

专家解释说,在原始的HTML表单中,零宽度空格看起来就像数字和特殊字符的混合,并随机插入在URL的单词或字母之间;然而,但在浏览器中,这些字符却不可见,呈现的内容似乎与一个标准URL没有什么差别。

零宽度空格的一些常见用途包括:

指纹识别文章和文件;

格式化外语;

在一行的末尾打断长单词,并在下一行继续输入。

零宽度空格钓鱼活动的攻击原理

在零宽度空格钓鱼活动中,&#8204(Zero-Width Non-Joiner)被添加到电子邮件原始HTML中的恶意URL中间。

Z—WSP漏洞,网络钓鱼绕过Office 365保护

Microsoft电子邮件的处理机制无法将此URL识别为合法URL,也未应用URL信誉检查或以安全链接(Safe Links)转化后进行点击检查。电子邮件发送给目标收件人,但是在他们的收件箱中,用户无法在URL中发现零宽度空格.

Z—WSP漏洞,网络钓鱼绕过Office 365保护

当终端用户点击电子邮件中的链接时,他们会被引导至一个骗取登陆凭证的网络钓鱼网站。在下面的例子中,美国大通银行就是这样受骗的。

Z—WSP漏洞,网络钓鱼绕过Office 365保护

将鼠标悬停在下面的URL上可以查看Microsoft Security如何查看包含零宽度空格的URL以及URL将如何呈现给收件人之间的区别。

零宽度空格标志着Office 365网络钓鱼攻击的演变

零宽度空格是一系列漏洞利用攻击中的一种,旨在隐藏恶意内容并打破Office 365安全性。Avanan去年发现的两个类似漏洞利用攻击技术包括baseStriker和ZeroFont攻击。在baseStriker攻击中,URL被分为两部分:base和href  标记。Microsoft只能扫描base标记,这样恶意部件就得以通过。而ZeroFont攻击则使用文本模糊处理漏洞来绕过ATP,通过添加字体大小为0的字符,在向用户显示网络钓鱼电子邮件的文本时,欺骗Office 365的自然语言分析。

零宽度空格攻击与此前两种攻击技术有类似之处,但最终凭借其独创性和简洁性超越了“前辈”,可视为其升级版。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/tech/134099.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code