Эксперты по кибербезопасности из компании Certitude обнаружили серьезную уязвимость в системе антифишинговой защиты Microsoft 365 (ранее известной как Office 365). Данная брешь позволяет злоумышленникам обходить важный механизм безопасности, потенциально подвергая пользователей риску фишинговых атак.
Уязвимость в функции First Contact Safety Tip
В центре внимания исследователей оказалась функция First Contact Safety Tip, предназначенная для предупреждения пользователей Outlook о получении писем от новых, потенциально подозрительных контактов. Обычно система отображает сообщение вида: «Вы нечасто получаете электронную почту с адреса [email protected]. Узнайте, почему это важно». Однако эксперты Certitude обнаружили способ полностью скрыть это предупреждение от пользователей.
Механизм обхода защиты
Ключевым фактором, делающим возможным этот обход, является то, что предупреждение добавляется непосредственно в основное тело письма в формате HTML. Это открывает возможности для манипуляций с CSS, встроенным в сообщение. Исследователи продемонстрировали, как простые изменения в CSS могут сделать предупреждение невидимым:
- Изменение цвета текста и фона на белый
- Установка размера шрифта на 0
Такие манипуляции полностью скрывают предупреждение, делая его невидимым для пользователя и потенциально подвергая его риску фишинговой атаки.
Дополнительные методы обмана
Развивая свое исследование, специалисты Certitude обнаружили возможность добавления в письма дополнительного HTML-кода, имитирующего иконки защищенных сообщений Microsoft Outlook. Хотя визуальное сходство не идеально из-за ограничений форматирования, этот прием может ввести в заблуждение пользователей при поверхностном осмотре.
Реакция Microsoft и потенциальные риски
Исследователи ответственно сообщили о своих находках компании Microsoft через официальный портал Microsoft Researcher Portal (MSRC), предоставив подробный отчет и proof-of-concept. Однако реакция технологического гиганта оказалась неоднозначной. Microsoft признала обоснованность информации, но заявила, что проблема «не соответствует критериям для немедленного реагирования, поскольку в основном может применяться для фишинговых атак».
Хотя на данный момент нет данных о реальной эксплуатации этой уязвимости, потенциальные риски остаются высокими. Возможность скрытия предупреждений о безопасности и имитации защищенных сообщений создает благоприятную почву для проведения сложных фишинговых кампаний, которые могут обмануть даже бдительных пользователей.
Данное открытие подчеркивает важность многоуровневого подхода к кибербезопасности. Пользователям Microsoft 365 рекомендуется проявлять повышенную бдительность при работе с электронной почтой, не полагаясь исключительно на встроенные механизмы защиты. Регулярное обучение сотрудников, использование дополнительных средств защиты от фишинга и своевременное обновление программного обеспечения остаются ключевыми элементами в борьбе с постоянно эволюционирующими киберугрозами.
