Уязвимость нулевого дня в пакете программ Office 365 позволяет злоумышленникам обходить систему защиты и доставлять пользователям письма со ссылками на фишинговые сайты. Брешь уже используется в реальных атаках, однако Microsoft пока не сообщила о сроках выхода патча.

Проблема, получившая название baseStriker, связана с модулем сканирования входящих писем почтового клиента Outlook, включенного в офисный пакет. Система проверяет ссылки, содержащиеся в полученной корреспонденции, и предупреждает пользователя, если они ведут на ресурсы, включенные в черный список.

Как выяснилось, этот механизм дает сбой, если злоумышленник применяет в письме HTML-тег <base>. С его помощью можно, однажды описав адрес сайта в заголовке страницы, в дальнейшем использовать лишь относительные ссылки в теле сообщения.

Например, поместив строку <base href = "https://www.site.ru"/> в разделе <head>, можно в дальнейшем обращаться к этому адресу следующим образом: <img src = "/images/pic-1.jpg"/> вместо полной записи вида <img src = "https://www.site.ru/images/pic-1.jpg"/>.

Такой способ относительно редко используется в электронном документообороте, однако является стандартным методом оптимизации HTML-кода.

Оказалось, что система безопасности Advanced Threat Protection (ATP), которая входит в состав Office 365, пропускает вредоносные ссылки, если они заданы при помощи тега <base>. Злоумышленник может описать домен фишингового сайта в заголовке, а конкретную его страницу разместить как относительную ссылку в теле письма. ATP пропустит такой адрес, а Outlook «склеит» две его части в итоговом документе. Письмо не попадет в папку «Спам», а пользователь сможет беспрепятственно перейти на вредоносный ресурс, минуя предупреждения безопасности.

Ошибка уже эксплуатируется киберпреступниками — по сообщению исследователей, пользователи Office 365 получают письма со ссылкой на поддельную страницу авторизации сайта Microsoft.

Разработчиков оперативно известили о найденной уязвимости, однако они пока не отреагировали на информацию экспертов. Исправление не вышло в майском комплекте патчей Microsoft, выпущенном несколько дней назад.

Два года назад в Office 365 уже находили ошибки, связанные с валидацией входящих ссылок. Тогда речь шла о поддельных адресах электронной почты, принимаемых почтовым клиентом за чистую монету. В рамках эксперимента исследователи сумели переслать из Outlook фальшивые письма от имени домена microsoft.com.

Категории: Спам, Уязвимости