Исследователи Certitude продемонстрировали способ обхода антифишинговой защиты в Microsoft 365 (бывший Office 365). При этом уязвимости пока не устранены.
Эксперты рассказали, что существует способ скрыть предупреждение First Contact Safety Tip. Как нетрудно понять из названия, функция First Contact Safety Tip предназначена для предупреждения пользователей Outlook о получении писем от новых контактов.
Она отображает сообщение следующего вида: «Вы нечасто получаете электронную почту с сайта [email protected]. Узнайте, почему это важно».
Ключевым здесь является тот факт, что предупреждение добавляется непосредственно к основному телу письма в формате HTML, и в результате открываются возможности для манипуляций с CSS, встроенным в сообщение.
Исследователи Certitude пишут, что это сообщение можно легко скрыть следующим образом.
То есть цвет текста и фона изменяется на белый, размер шрифта устанавливается на 0, что в итоге скрывает предупреждение и делает его невидимым для пользователя.
Развивая эту идею дальше, специалисты обнаружили, что могут добавлять в письма дополнительный HTML-код, имитирующий иконки, которые Microsoft Outlook добавляет к зашифрованным и подписанными письмам, чтобы те выглядели защищенными. Хотя некоторые ограничения форматирования не позволяют добиться идеального визуального сходства, этот трюк все равно может помочь обойти не слишком тщательные проверки.
Исследователи отмечают, что им неизвестно о случаях эксплуатации описанных багов, и не нашли способов манипулирования HTML для отображения произвольного текста в письме.
Certitude уведомила Microsoft о своих выводах, направив разработчикам proof-of-concept и подробный отчет через портал Microsoft Researcher Portal (MSRC). Однако представители Microsoft дали исследователям следующий ответ:
Эксперты рассказали, что существует способ скрыть предупреждение First Contact Safety Tip. Как нетрудно понять из названия, функция First Contact Safety Tip предназначена для предупреждения пользователей Outlook о получении писем от новых контактов.
Она отображает сообщение следующего вида: «Вы нечасто получаете электронную почту с сайта [email protected]. Узнайте, почему это важно».
Ключевым здесь является тот факт, что предупреждение добавляется непосредственно к основному телу письма в формате HTML, и в результате открываются возможности для манипуляций с CSS, встроенным в сообщение.
Исследователи Certitude пишут, что это сообщение можно легко скрыть следующим образом.
То есть цвет текста и фона изменяется на белый, размер шрифта устанавливается на 0, что в итоге скрывает предупреждение и делает его невидимым для пользователя.
Развивая эту идею дальше, специалисты обнаружили, что могут добавлять в письма дополнительный HTML-код, имитирующий иконки, которые Microsoft Outlook добавляет к зашифрованным и подписанными письмам, чтобы те выглядели защищенными. Хотя некоторые ограничения форматирования не позволяют добиться идеального визуального сходства, этот трюк все равно может помочь обойти не слишком тщательные проверки.
Исследователи отмечают, что им неизвестно о случаях эксплуатации описанных багов, и не нашли способов манипулирования HTML для отображения произвольного текста в письме.
Certitude уведомила Microsoft о своих выводах, направив разработчикам proof-of-concept и подробный отчет через портал Microsoft Researcher Portal (MSRC). Однако представители Microsoft дали исследователям следующий ответ:
