Vulnerabilità 0day baseStriker nei filtri Anti-Phishing di Office 365

10/05/2018

0day office 365 Vulnerabilità
I ricercatori di sicurezza Avanan hanno identificato e divulgato una PoC per dimostrare la vulnerabilità di tipo 0day individuata su Office 365 e ribattezzata con il nome di baseStriker.
La vulnerabilità consente ad un attaccante di bypassare le funzionalità di sicurezza di Safe Links per proteggere gli utenti Office 365 da mail contenente collegamenti classificati come fraudolenti.
 
La funzionalità avanzata di Safe Links, implementata su Office 365, acquisisce tutti i collegamenti presenti nel corpo del messaggio e verifica la presenza del dominio in blacklist.
La metodologia utilizzata è quella di rilevare e validare tutti i link inclusi nei tag con attributo href e di bloccare quelli sospetti.
 
Il codice HTML di una tradizionale mail di phishing è strutturato nel seguente modo:

 

La vulnerabilità baseStriker sfrutta il tag HTML  con attributo href per specificare il dominio di base che verrà utilizzato in tutti i collegamenti presenti nel documento. In questo modo la URL completa verrà suddivisa in due parti: il dominio nel tag  e il percorso che completa la URL nel tag .
 
A differenza della mail di phishing tradizionale, il codice HTML di una mail di phishing che sfrutta la tecnica baseStriker si presenta nel seguente modo:
Essendo suddivisa in due parti Safe Links non è in grado di individuare l’intera URL e quindi la lascia passare senza classificarla come pericolosa.
I ricercatori Avanan hanno pubblicato su Youtube un video dimostrativo relativo al PoC citato nell’articolo.
Le versioni di Office 365 impattate sono le seguenti, ma non è escluso che altri software siano affetti dalla medesima vulnerabilità:
  • Office 365
  • Office 365 con ATP and Safelinks
  • Office 365 con Proofpoint MTA
Microsoft è stata informata ma al momento non sono state rilasciate patch risolutive. Non esiste una soluzione definitiva al problema, quindi si consiglia di prestare attenzione alle email di phishing che potrebbero veicolare su Office 365.