Фахівці з кібербезпеки компанії Certitude виявили серйозну вразливість у системі антифішингового захисту Microsoft 365 (раніше відомого як Office 365). Ця вразливість дозволяє зловмисникам обходити важливі механізми безпеки, потенційно наражаючи користувачів на ризик фішингових атак.
Уразливість у функції First Contact Safety Tip
Ключовим елементом виявленої вразливості є можливість приховати попередження First Contact Safety Tip. Ця функція призначена для сповіщення користувачів Outlook про отримання листів від нових контактів, відображаючи повідомлення: “Ви нечасто отримуєте електронну пошту з адреси [email protected]. Дізнайтеся, чому це важливо”.
Дослідники з Certitude виявили, що це попередження додається безпосередньо до основного тіла листа у форматі HTML. Така реалізація відкриває можливості для маніпуляцій з вбудованим у повідомлення CSS.
Механізм обходу захисту
Експерти продемонстрували, що попередження First Contact Safety Tip можна легко приховати, змінивши CSS-стилі повідомлення. Зокрема, шляхом зміни кольору тексту та фону на білий, а також встановлення розміру шрифту на 0, попередження стає невидимим для користувача.
Додаткові методи маніпуляції
Розвиваючи цю ідею, фахівці Certitude виявили можливість додавати в листи додатковий HTML-код, що імітує іконки шифрування та цифрового підпису, які Microsoft Outlook зазвичай додає до захищених листів. Хоча певні обмеження форматування не дозволяють досягти ідеальної візуальної схожості, цей прийом все ж може допомогти обійти поверхневі перевірки.
Реакція Microsoft та потенційні наслідки
Компанія Certitude повідомила Microsoft про свої знахідки через портал Microsoft Researcher Portal (MSRC), надавши детальний звіт та proof-of-concept. Однак відповідь Microsoft викликає занепокоєння:
“Ми дійшли висновку, що ваша інформація обґрунтована, але не відповідає нашим критеріям для негайного реагування, оскільки [проблема] в основному може застосовуватися для фішингових атак. Тим не менш, ми відзначили цю інформацію для подальшого розгляду з метою вдосконалення наших продуктів.”
Хоча дослідники зазначають, що їм невідомо про випадки експлуатації описаних вразливостей, потенційні ризики залишаються значними. Можливість обходу антифішингового захисту може призвести до зростання кількості успішних фішингових атак, що загрожує конфіденційності та безпеці користувачів Microsoft 365.
Ця ситуація підкреслює важливість постійної пильності в питаннях кібербезпеки. Користувачам рекомендується бути особливо уважними при отриманні електронних листів від невідомих відправників, незалежно від наявності чи відсутності попереджень безпеки. Організаціям варто розглянути можливість впровадження додаткових шарів захисту від фішингу, щоб компенсувати потенційні недоліки вбудованих механізмів безпеки Microsoft 365.