Được gọi là các liên kết an toàn (Safe Links), tính năng này đã được đưa vào trong phần mềm Office 365 với cách thức hoạt động bằng cách thay thế tất cả các URL trong email đến bằng các URL bảo mật của Microsoft.
Cụ thể, mỗi khi người dùng truy cập vào liên kết được gửi trong email, liên kết này sẽ được gửi đến một tên miền riêng của Microsoft. Tại đây, Microsoft sẽ kiểm tra URL gốc để phát hiện những bất thường. Nếu hệ thống dò quét phát hiện bất kỳ mã độc hại nào, nó sẽ cảnh báo cho người dùng, ngược lại hệ thống sẽ chuyển hướng người dùng đến liên kết gốc.
Tuy nhiên, các nhà nghiên cứu của công ty bảo mật điện toán đám mây Avanan (Mỹ) đã tiết lộ rằng, những kẻ tấn công có thể vượt qua tính năng này bằng cách sử dụng một kỹ thuật được gọi là tấn công baseStriker (baseStriker attack).
Tấn công baseStriker liên quan đến việc sử dụng thẻ <base> trong phần tiêu đề của HTML email - được sử dụng để định nghĩa URL cơ sở mặc định hoặc URL, cho các liên kết tương đối trong một tài liệu hoặc trang web. Nói cách khác, nếu <base> URL được xác định, tất cả các liên kết tương đối tiếp theo sẽ sử dụng URL đó làm điểm bắt đầu.
Các nhà nghiên cứu đã so sánh đoạn mã HTML trong một email lừa đảo với một thẻ <base> để phân tách liên kết độc hại theo cách mà các liên kết an toàn bị lỗi định danh và thay thế một phần siêu liên kết, cuối cùng chuyển hướng nạn nhân đến trang web lừa đảo (Hình 1).
Các nhà nghiên cứu còn cung cấp một video minh chứng tấn công baseStriker được thực hiện thành công. Bên cạnh đó, họ đã thử nghiệm tấn công baseStriker, nhằm chống lại một số cấu hình và thấy rằng “bất kỳ ai sử dụng Office 365 với bất kỳ cấu hình nào đều tồn tại lỗ hổng”, bao gồm: ứng dụng trình khách trên nền web, ứng dụng di động hoặc ứng dụng máy tính để bàn của OutLook.
Trong Proofpoint cũng tìm thấy lỗ hổng có thể bị tấn công baseStriker. Tuy nhiên, người dùng Gmail và Office 365 sử dụng tính năng Mimecast không bị ảnh hưởng bởi vấn đề này.
Trong thực tế, tin tặc đã sử dụng tấn công baseStriker để gửi email lừa đảo. Nhưng các nhà nghiên cứu lo ngại rằng, hình thức này sẽ được sử dụng phổ biến để phát tán mã độc tống tiền và các phần mềm độc hại khác.
Anavan đã báo cáo vấn đề này cho Microsoft và Proofpoint, tuy nhiên hiện tại chưa có bản vá lỗi nào được đưa ra.
Trí Công (Trung tâm CNTT&GSANM)
09:00 | 02/07/2019
16:00 | 26/08/2019
08:00 | 20/08/2018
10:00 | 21/08/2020
08:00 | 12/07/2024
Mới đây, công ty bảo mật Symantec đã đưa ra cảnh báo về một cuộc tấn công mới, lừa người dùng đến các trang web giả mạo và yêu cầu cung cấp thông tin Apple ID. Những thông tin xác thực này cho phép tin tặc kiểm soát các thiết bị, truy cập thông tin cá nhân và tài chính.
14:00 | 08/07/2024
Cisco đã vá lỗ hổng zero-day trong hệ điều hành NX-OS bị khai thác trong các cuộc tấn công vào tháng 4/2024 để cài đặt phần mềm độc hại với quyền root trên các thiết bị chuyển mạch (switch) dễ bị tấn công.
10:00 | 04/07/2024
Các nhà nghiên cứu đã phát hành một tập lệnh khai thác (PoC) cho chuỗi lỗ hổng dẫn đến thực thi mã từ xa (RCE) trên các máy chủ Progress Telerik Report.
10:00 | 17/05/2024
Một hacker bị cáo buộc đã đánh cắp cơ sở dữ liệu quan trọng do Tập đoàn giao dịch chứng khoán Luân Đôn (LSEG) duy trì có chứa thông tin về những kẻ khủng bố, tội phạm tiềm năng và các cá nhân có nguy cơ cao hiện đang bị đe dọa rò rỉ hàng loạt dữ liệu nhạy cảm.
Các nhà nghiên cứu bảo mật tại Cisco Talos vừa phát hiện ra một số lỗ hổng Microsoft Office, cho phép tin tặc theo dõi người dùng thông qua camera và micro.
10:00 | 23/08/2024