Được gọi là các liên kết an toàn (Safe Links), tính năng này đã được đưa vào trong phần mềm Office 365 với cách thức hoạt động bằng cách thay thế tất cả các URL trong email đến bằng các URL bảo mật của Microsoft.
Cụ thể, mỗi khi người dùng truy cập vào liên kết được gửi trong email, liên kết này sẽ được gửi đến một tên miền riêng của Microsoft. Tại đây, Microsoft sẽ kiểm tra URL gốc để phát hiện những bất thường. Nếu hệ thống dò quét phát hiện bất kỳ mã độc hại nào, nó sẽ cảnh báo cho người dùng, ngược lại hệ thống sẽ chuyển hướng người dùng đến liên kết gốc.
Tuy nhiên, các nhà nghiên cứu của công ty bảo mật điện toán đám mây Avanan (Mỹ) đã tiết lộ rằng, những kẻ tấn công có thể vượt qua tính năng này bằng cách sử dụng một kỹ thuật được gọi là tấn công baseStriker (baseStriker attack).
Tấn công baseStriker liên quan đến việc sử dụng thẻ <base> trong phần tiêu đề của HTML email - được sử dụng để định nghĩa URL cơ sở mặc định hoặc URL, cho các liên kết tương đối trong một tài liệu hoặc trang web. Nói cách khác, nếu <base> URL được xác định, tất cả các liên kết tương đối tiếp theo sẽ sử dụng URL đó làm điểm bắt đầu.
Các nhà nghiên cứu đã so sánh đoạn mã HTML trong một email lừa đảo với một thẻ <base> để phân tách liên kết độc hại theo cách mà các liên kết an toàn bị lỗi định danh và thay thế một phần siêu liên kết, cuối cùng chuyển hướng nạn nhân đến trang web lừa đảo (Hình 1).
Các nhà nghiên cứu còn cung cấp một video minh chứng tấn công baseStriker được thực hiện thành công. Bên cạnh đó, họ đã thử nghiệm tấn công baseStriker, nhằm chống lại một số cấu hình và thấy rằng “bất kỳ ai sử dụng Office 365 với bất kỳ cấu hình nào đều tồn tại lỗ hổng”, bao gồm: ứng dụng trình khách trên nền web, ứng dụng di động hoặc ứng dụng máy tính để bàn của OutLook.
Trong Proofpoint cũng tìm thấy lỗ hổng có thể bị tấn công baseStriker. Tuy nhiên, người dùng Gmail và Office 365 sử dụng tính năng Mimecast không bị ảnh hưởng bởi vấn đề này.
Trong thực tế, tin tặc đã sử dụng tấn công baseStriker để gửi email lừa đảo. Nhưng các nhà nghiên cứu lo ngại rằng, hình thức này sẽ được sử dụng phổ biến để phát tán mã độc tống tiền và các phần mềm độc hại khác.
Anavan đã báo cáo vấn đề này cho Microsoft và Proofpoint, tuy nhiên hiện tại chưa có bản vá lỗi nào được đưa ra.
Trí Công (Trung tâm CNTT&GSANM)
09:00 | 02/07/2019
16:00 | 26/08/2019
08:00 | 20/08/2018
10:00 | 21/08/2020
09:00 | 19/04/2024
Theo nhận định của Cục An toàn thông tin (Bộ Thông tin và Truyền thông), trong thời gian gần đây các chiêu trò lừa đảo trực tuyến ngày càng gia tăng với các hình thức tinh vi hơn. Điều này khiến cho nhiều người dân khó nhận biết để phòng tránh nguy cơ mất an toàn thông tin.
11:00 | 29/02/2024
Các nhà nghiên cứu của hãng bảo mật Palo Alto Networks (Mỹ) đã phát hiện một biến thể mới của Trojan ngân hàng Mispadu đang tiến hành các hoạt động khai thác lỗ hổng Windows SmartScreen đã được vá để nhắm mục tiêu đến các nạn nhân ở Mexico. Bài viết sẽ phân tích và thảo luận xoay quanh biến thể mới của Mispadu và tấn công khai thác lỗ hổng Windows SmartScreen dựa trên báo cáo của Palo Alto Networks.
07:00 | 16/01/2024
Các nhà nghiên cứu an ninh mạng đã phát hiện một backdoor macOS mới có tên là SpectralBlur. Đặc biệt backdoor này có những điểm tương đồng với dòng phần mềm độc hại KandyKorn của các tin tặc Triều Tiên trong các chiến dịch tấn công mạng được xác định gần đây.
13:00 | 14/12/2023
RisePro là một phần mềm độc hại đánh cắp thông tin dưới dạng dịch vụ, được xác định lần đầu tiên vào năm 2022. Gần đây, các nhà nghiên cứu của Anyrun nhận thấy hoạt động của phần mềm độc hại này tăng đột biến, đồng thời thay đổi cách giao tiếp với máy chủ điều khiển và kiểm soát (C2), cũng như trang bị những khả năng mới, đặc biệt là các tính năng điều khiển từ xa khiến nó có khả năng hoạt động như một RAT (Remote Access Trojan).
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024