I ricercatori di sicurezza hanno messo in guardia su una semplice tecnica che i criminali informatici e gli scammer di posta elettronica stanno già utilizzando per aggirare la funzionalità di sicurezza di Microsoft Office 365, inclusi i collegamenti sicuri, originariamente progettati per proteggere gli utenti da attacchi di phishing e malware.
Microsoft in Office 365 ha incluso “Safe Links” come parte della sua soluzione ATP (Advanced Threat Protection) per offrire protezione per l’e-mail, i file e lo spazio di archiviazione online, funziona sostituendo tutti gli URL di un’email in arrivo con URL sicuri di proprietà di Microsoft: pertanto, ogni volta che gli utenti fanno clic su un collegamento fornito in un’e-mail, i collegamenti sono inviati a un dominio di proprietà Microsoft, verifica immediatamente il collegamento originale per eventuali sospetti. Se gli scanner di sicurezza di Microsoft rilevano elementi dannosi, avvisano gli utenti al riguardo e, in caso contrario, li reindirizzano al collegamento originale.
I ricercatori della società di sicurezza Avanan, tuttavia hanno rivelato come gli hacker utilizzando Zero-Width Spaces (ZWSP) (spazio a larghezza zero) abbiano aggirato sia la verifica della reputazione degli URL di Office 365 sia le funzionalità di protezione URL dei collegamenti sicuri.
Gli spazi a larghezza zero (elencati di seguito) supportati da tutti i browser moderni, sono caratteri Unicode non stampabili che in genere sono utilizzati per abilitare il ritorno a capo in parole lunghe, la maggior parte delle applicazioni li considera come spazio regolare, anche se non è visibile all’occhio:
& # 8203; (Spazio a larghezza zero)
& # 8204; (Non-Joiner Zero-Width)
& # 8205; (Zero-Width Joiner)
& # 65279; (Spazio senza interruzioni a larghezza zero)
& # 65296; (Zero cifre a larghezza intera).
Ecco come funzionano gli attacchi di phishing con Z-WASP
I ricercatori riportano che gli aggressori stanno semplicemente inserendo spazi multipli a larghezza zero all’interno dell’URL menzionato nelle loro e-mail di phishing, interrompendo l’elemento URL in modo che Microsoft non lo riconosce come link, in un post sul sito, hanno scritto:
«L’elaborazione della posta elettronica Microsoft non ha riconosciuto questo URL come URL legittimo e non ha applicato il controllo della reputazione dell’URL né convertito con collegamenti sicuri per il controllo post-clic.
L’email è stata consegnata al previsto destinatario, ma nella loro casella di posta, gli utenti non hanno visto gli ZWSP nell’URL».
Tuttavia, quando gli utenti finali hanno fatto clic sul collegamento nell’email, sono stati trasferiti su un sito di phishing che raccoglie le credenziali.
I ricercatori hanno anche fornito un video (vedi sopra) mostra cosa è accaduto quando hanno inviato un URL malevolo a una casella di posta di Office 365 senza alcun carattere ZWSP inserito nell’URL e con i caratteri ZWSP inseriti nell’URL.
L’attacco Z-WASP è un’altra catena in un elenco di exploit, inclusi gli attacchi a baseStriker e ZeroFont, progettati per offuscare contenuti dannosi e confondere la sicurezza di Microsoft Office 365.
L’azienda di sicurezza ha scoperto l’attacco Z-WASP su oltre il 90% dei clienti di Office 365 di Avanan. Lo scorso 10 novembre ha segnalato il problema a Microsoft dopo averne confermata la natura. Ha quindi collaborato costantemente con il team di sicurezza Microsoft per valutare la portata della vulnerabilità; dal 9 gennaio 2018 la vulnerabilità è stata corretta.