Cách thức mới vượt qua các liên kết an toàn của Microsoft Office 365
Được gọi là các liên kết an toàn (Safe Links), tính năng này đã được đưa vào trong phần mềm Office 365 với cách thức hoạt động bằng cách thay thế tất cả các URL trong email đến bằng các URL bảo mật của Microsoft.
Cụ thể, mỗi khi người dùng truy cập vào liên kết được gửi trong email, liên kết này sẽ được gửi đến một tên miền riêng của Microsoft. Tại đây, Microsoft sẽ kiểm tra URL gốc để phát hiện những bất thường. Nếu hệ thống dò quét phát hiện bất kỳ mã độc hại nào, nó sẽ cảnh báo cho người dùng, ngược lại hệ thống sẽ chuyển hướng người dùng đến liên kết gốc.
Tuy nhiên, các nhà nghiên cứu của công ty bảo mật điện toán đám mây Avanan (Mỹ) đã tiết lộ rằng, những kẻ tấn công có thể vượt qua tính năng này bằng cách sử dụng một kỹ thuật được gọi là tấn công baseStriker (baseStriker attack).
Tấn công baseStriker liên quan đến việc sử dụng thẻ <base> trong phần tiêu đề của HTML email - được sử dụng để định nghĩa URL cơ sở mặc định hoặc URL, cho các liên kết tương đối trong một tài liệu hoặc trang web. Nói cách khác, nếu <base> URL được xác định, tất cả các liên kết tương đối tiếp theo sẽ sử dụng URL đó làm điểm bắt đầu.
Các nhà nghiên cứu đã so sánh đoạn mã HTML trong một email lừa đảo với một thẻ <base> để phân tách liên kết độc hại theo cách mà các liên kết an toàn bị lỗi định danh và thay thế một phần siêu liên kết, cuối cùng chuyển hướng nạn nhân đến trang web lừa đảo (Hình 1).
Hình 1: Đoạn mã HTML thực hiện tấn công baseStriker
Các nhà nghiên cứu còn cung cấp một video minh chứng tấn công baseStriker được thực hiện thành công. Bên cạnh đó, họ đã thử nghiệm tấn công baseStriker, nhằm chống lại một số cấu hình và thấy rằng “bất kỳ ai sử dụng Office 365 với bất kỳ cấu hình nào đều tồn tại lỗ hổng”, bao gồm: ứng dụng trình khách trên nền web, ứng dụng di động hoặc ứng dụng máy tính để bàn của OutLook.
Trong Proofpoint cũng tìm thấy lỗ hổng có thể bị tấn công baseStriker. Tuy nhiên, người dùng Gmail và Office 365 sử dụng tính năng Mimecast không bị ảnh hưởng bởi vấn đề này.
Trong thực tế, tin tặc đã sử dụng tấn công baseStriker để gửi email lừa đảo. Nhưng các nhà nghiên cứu lo ngại rằng, hình thức này sẽ được sử dụng phổ biến để phát tán mã độc tống tiền và các phần mềm độc hại khác.
Anavan đã báo cáo vấn đề này cho Microsoft và Proofpoint, tuy nhiên hiện tại chưa có bản vá lỗi nào được đưa ra.
Trí Công (Trung tâm CNTT&GSANM)