5 月 1 日,Avanan 的研究人員發現 Office 365 中出現了一個名爲 baseStriker 的 0-day 漏洞。***者可利用這個漏洞發送惡意郵件,繞過 Office 365 的賬戶安全機制。
baseStriker 漏洞的代碼使用了不常用的 < base > HTML 標籤,主要是爲相對的鏈接建立基本 URL。開發者經常在 HTML 文檔(網頁)的 部分聲明這個標籤。
例如,某個網站可能通過以下方式聲明其基本 URL:
聲明之後,開發者會將鏈接加入基本 URL 的全文中,但無需將全部代碼寫出來:
在底層,HTML 渲染引擎(通常是瀏覽器)將合併基本URL和相對路徑,並附帶如下內容:
問題就在於,Office 365 不支持“基本”HTML 標籤。因此,***者只需發送一封富文本格式的郵件,Office 365 就無法掃描並檢測到 URL 中隱藏的惡意軟件代碼。這種富文本格式郵件的結構如下:
Outlook 將正確顯示鏈接,這意味着用戶可以點擊鏈接並進入預設的頁面。但是,高級威脅防護(ATP)和 Safelinks 等 Office365 安全機制在掃描鏈接之前不會將基本 URL 和相對路徑合併在一起,這些系統只會分開掃描每個部分。
Avanan 研究員對多種電子郵件服務都進行了測試,結果發現只有 Office 365 易受 baseStriker ***。
baseStriker 漏洞曝光才一週左右,研究人員就發現了相關的在野利用實例。有***利用這個漏洞發送網絡釣魚***,還能分發勒索軟件、惡意軟件和其他惡意內容。Avanan 已經與微軟聯繫並報告了相關調查結果,但微軟尚未反饋。
在野利用詳情可參考 Avanan 的演示視頻:
*參考來源:bleepingcomputer,AngelaY 編譯整理,轉載請註明來自 FreeBuf.COM
大連婦科醫院排名 http://www.bhfuke.com/
大連×××醫院好嗎 http://www.84211111.com/
大連婦科醫院 http://www.dlbh120.com/