Los investigadores de seguridad han estado advirtiendo sobre una técnica simple que los cibercriminales y los estafadores de correo electrónico ya están utilizando de forma salvaje para eludir las características de seguridad de Microsoft Office 365, incluyendo Safe Links, que originalmente están diseñados para proteger a los usuarios de malware y ataques de phishing.
Microsoft ha incluido Safe Links en Office 365 como parte de su solución ATP (Advanced Threat Protection) que funciona al reemplazar todas las URL en un correo electrónico entrante con URL seguras propiedad de Microsoft.
Por lo tanto, cada vez que los usuarios hacen clic en un enlace proporcionado en un correo electrónico, Safe Links primero los envía a un dominio de propiedad de Microsoft, donde comprueba de inmediato el enlace original para detectar cualquier cosa sospechosa. Si los escáneres de seguridad de Microsoft detectan algún elemento malicioso, avisa a los usuarios al respecto y, si no, los redirige al enlace original.
Sin embargo, los investigadores de la compañía de seguridad en la nube Avanan han revelado cómo los atacantes han pasado por alto tanto la verificación de la reputación de la URL de Office 365 como las características de protección de la URL de los enlaces seguros mediante el uso de espacios de ancho cero (ZWSP).
Compatible con todos los navegadores web modernos, los espacios de ancho cero (enumerados a continuación) son caracteres Unicode que no se pueden imprimir y que generalmente se usan para habilitar el ajuste de línea en palabras largas, y la mayoría de las aplicaciones los tratan como espacio regular, aunque no sea visible a la vista.
Demostración de ataque de phishing espacial de ancho cero
Según los investigadores, los atacantes simplemente están insertando múltiples espacios de ancho cero en la URL maliciosa mencionada en sus correos electrónicos de suplantación de identidad, rompiendo el patrón de la URL de manera que Microsoft no lo reconoce como un enlace.
"El procesamiento de correo electrónico de Microsoft no reconoció esta URL como una URL legítima, y no aplicó la comprobación de reputación de la URL ni la convirtió con Safe Links para la comprobación posterior al clic", dicen los investigadores en una publicación del blog publicada el miércoles.
"El correo electrónico se entregó al destinatario deseado, pero en su bandeja de entrada, los usuarios no vieron los ZWSP en la URL".
Sin embargo, cuando los usuarios finales hicieron clic en el enlace del correo electrónico, fueron enviados a un sitio web de captura de credenciales para la obtención de credenciales.
Los investigadores también proporcionaron una demostración en video que muestra lo que sucedió cuando enviaron una URL maliciosa a una bandeja de entrada de Office 365 sin ningún carácter ZWSP insertado en la URL y con los caracteres ZWSP insertados en la URL.
El ataque Z-WASP es otra cadena en una lista de vulnerabilidades, incluidos los ataques baseStriker y ZeroFont , que están diseñados para ofuscar contenido malicioso y confundir la seguridad de Microsoft Office 365.
La firma de seguridad descubrió el ataque Z-WASP a más del 90 por ciento de los clientes de Office 365 de Avanan y reportó el problema a Microsoft el 10 de noviembre del año pasado después de confirmar su naturaleza.
Avanan luego trabajó con el equipo de seguridad de Microsoft continuamente para evaluar el alcance de la vulnerabilidad, que luego se abordó el 9 de enero.
Fuente: thehackernews