Araştırmacılar, Microsoft 365'te (eski adıyla Office 365) bir akhis önlemini atlamak için bir yöntem gösterdiler ve kullanıcıların kötü niyetli e-postalar açma riskini artırdılar.
Özellikle, gizlenebilecek anti-pishis önlemi, tanıdık olmayan bir adresten mesaj aldıklarında e-posta alıcılarını Outlook'ta uyaran 'İlk Temas Güvenliği İpucu'dur.
Kusurları keşfeden sertifika analistleri bulgularını Microsoft'a bildirdi, ancak teknoloji devi şu anda ele almamaya karar verdi.
"İlk İletişim Güvenliği İpucu", yeni kişilerden e -posta aldıklarında Outlook kullanıcılarını uyarmak için tasarlanmış bir özelliktir. "Xyz@example.com adresinden genellikle e -posta almazsınız. Bunun neden önemli olduğunu öğrenin."
Bu mekanizmanın temel yönü, uyarının HTML e -postasının ana gövdesine eklenmesi ve bir e -posta mesajına gömülü CSS kullanarak manipülasyon potansiyelini açmasıdır.
Sertifika, aşağıda gösterildiği gibi, e -postanın HTML'sinde CSS'yi (basamaklı stil sayfaları) manipüle ederek bu güvenlik mesajını gizlemenin mümkün olduğunu keşfetti:
Her kuralın rolü şunlardır:
Bu CSS, yeni bir iletişimden bir hedefe gönderilen bir kimlik avı e -postasında kullanıldığında, alıcıyı uyarmak için hiçbir uyarı görünmez.
Aldatmayı bir adım daha ileri götüren Sertifika, Microsoft Outlook'un daha da güvenli görünmesi için şifreli/imzalı e -postalara eklediği simgeleri taklit eden daha fazla HTML kodu eklemenin de mümkün olduğunu buldu.
Bazı biçimlendirme sınırlamaları mükemmel bir görsel sonuca izin vermese de, hile hala dikkatli denetimlerden daha azını kolayca geçebilecek ikna edici bir yanlış güvenlik görüntüsü yaratır.
Araştırmacılar, BleepingComputer'a açıklanan yöntemin aktif olarak kullanılması vakalarını gözlemlemediklerini veya e -postada keyfi metin görüntülenmesi için HTML'yi manipüle etmenin yollarını bulmadıklarını söyledi.
Cerrititude, Microsoft'a yukarıdaki teknikler için bir kavram kanıtı ve Microsoft Araştırmacı Portalı (MSRC) aracılığıyla ayrıntılı bir rapor gönderdi.
Ancak, Microsoft'tan aşağıdaki yanıtı aldılar:
Diyerek şöyle devam etti: "Bulgunuzun geçerli olduğunu belirledik, ancak bunun esas olarak kimlik avı saldırıları için geçerli olduğunu düşünmek için derhal servis için çubuğumuzu karşılamadık. Ancak, gelecekteki inceleme için bulgularınızı ürünlerimizi geliştirmek için bir fırsat olarak işaretledik." - Microsoft
BleepingComputer, riski ele almama kararı hakkında daha fazla bilgi edinmek için Microsoft ile iletişime geçti ve bir sözcü aşağıdaki ifadeyi gönderdi:
Bu raporu gözden geçirdik ve ciddiyet sınıflandırma yönergelerimiz kapsamında derhal servis için çıtayı karşılamadığını bulduk. Açıklanan teknik bir güvenlik açığı değildir ve başarılı olmak için sosyal mühendisliğe dayanır. Müşterileri, web sayfalarına bağlantıları tıklarken dikkatli olmak da dahil olmak üzere çevrimiçi iyi bilgi işlem alışkanlıkları uygulamaya teşvik etmeye devam ediyoruz. - Microsoft sözcüsü
55 $ karşılığında 15 aylık Microsoft 365 kişisel artı 1 TB depolama alanını alın
BT uzmanları bu 80 $ 'lık Microsoft Course Paketi ile başlayabilir
Microsoft nihayet Aralık güncellemelerinin neden olduğu Outlook uyarıları hatasını düzeltir
Onnx Kimlik Yardım Hizmeti Finansal Firmalardaki Microsoft 365 Hesapları Hedefleri
Microsoft: Kişisel hesaplara gelen yeni Outlook Güvenlik Değişiklikleri
Kaynak: Bleeping Computer