网络安全专家最近的研究发现,Microsoft 365 的反网络钓鱼机制中存在一个漏洞,可以使用 CSS 来利用该漏洞。此漏洞允许攻击者绕过安全警报,引发了人们对 Microsoft 网络钓鱼防御稳健性的担忧。
Microsoft 365(以前称为 Office 365)采用了各种反网络钓鱼措施来保护其用户。其中一项措施是“首次接触安全提示”,当用户收到来自不熟悉地址的电子邮件时,它会提醒用户。此警报通常附加在 HTML 电子邮件的正文之前,以指示潜在风险。
然而,来自 Certitude 的 William Moody 和 Wolfgang Ettlinger 证明了可以使用 CSS 修改有效地隐藏此警报。通过将背景和字体颜色更改为白色,攻击者可以使警报对接收者不可见,从而使其预期的保护功能无效。
为了说明这个漏洞,Certitude 制作了一封概念验证电子邮件,通过特定的 CSS 规则隐藏了安全提示。尽管由于 Outlook 的渲染引擎限制,常见的 CSS 策略(如将显示设置为无或调整高度和不透明度)不起作用,但更改颜色属性被证明是成功的。此方法可确保警报存在但不可见,从而误导用户并增加网络钓鱼尝试成功的可能性。
此外,研究人员扩展了他们的发现,以展示攻击者如何在Microsoft Outlook中欺骗加密和签名的电子邮件图标。通过使用Unicode字符和特定的CSS规则,他们展示了如何令人信服地模仿这些图标。虽然警惕的用户可能会注意到微小的格式差异,但观察力较差的个人很容易被欺骗,从而可能危及组织安全。
发现后,Certitude 通过 Microsoft 研究人员门户负责任地向 Microsoft 披露了该问题。尽管承认调查结果的有效性,但Microsoft决定不立即解决该问题,理由是它主要是指网络钓鱼攻击。然而,他们已经标记了调查结果以供将来审查,以改进他们的产品。
发表评论
您还未登录,请先登录。
登录