Hackers usam espaços de largura zero para ignorar a proteção do MS Office 365

Pesquisadores de segurança têm alertado sobre uma técnica simples que cibercriminosos e scammers de e-mail já estão usando para contornar os recursos de segurança do Microsoft Office 365, incluindo os Links Seguros, que são originalmente projetados para proteger os usuários contra ataques de phishing e malware.

Os Links Seguros foram incluídos pela Microsoft no Office 365 como parte de sua solução ATP (Proteção Avançada contra Ameaças) que funciona substituindo todas as URLs em um email recebido por URLs seguras de propriedade da Microsoft.

Portanto, toda vez que os usuários clicam em um link fornecido em um email, os Links seguros primeiro os enviam para um domínio de propriedade da Microsoft, onde ele verifica imediatamente o link original em busca de algo suspeito. Se os scanners de segurança da Microsoft detectarem algum elemento malicioso, ele avisará os usuários sobre isso e, caso contrário, os redirecionará para o link original. No entanto, os pesquisadores da empresa de segurança em nuvem Avanan revelaram como os invasores ignoraram as verificações de reputação de URL do Office 365 e os recursos de proteção de URL de Links Seguros usando Espaços de Largura Zero (ZWSPs).

Suportados por todos os navegadores modernos, os espaços de largura zero (listados abaixo) são caracteres Unicode não imprimíveis que normalmente são usados ​​para habilitar quebra de linha em palavras longas, e a maioria dos aplicativos os trata como espaço regular, embora não seja visível aos olhos. .

espaços de largura zero


Demonstração de Ataque de Phishing no Espaço Zero Largura

De acordo com os pesquisadores, os invasores estão simplesmente inserindo vários espaços de largura zero dentro da URL maliciosa mencionada em seus e-mails de phishing, quebrando o padrão de URL de uma forma que a Microsoft não o reconhece como um link.

“O processamento de e-mail da Microsoft não reconheceu esse URL como um URL legítimo, nem aplicou a verificação de reputação de URL nem o converteu em Links seguros para verificação pós-clique”, disseram os pesquisadores em um post publicado na quarta-feira.”O e-mail foi entregue ao destinatário pretendido; mas na caixa de entrada, os usuários não viram os ZWSPs no URL.”
No entanto, quando os usuários finais clicaram no link no e-mail, eles foram levados para um site de coleta de credenciais de phishing.

Os pesquisadores também forneceram uma demonstração em vídeo mostrando o que aconteceu quando eles enviaram uma URL mal-intencionada para uma caixa de entrada do Office 365 sem quaisquer caracteres ZWSP inseridos na URL e com caracteres ZWSP inseridos na URL.

O ataque Z-WASP é outra cadeia em uma lista de exploits, incluindo os baseStriker e ataques ZeroFont , que são projetados para ofuscar conteúdo malicioso e confundir Microsoft Office 365 segurança.

A empresa de segurança descobriu o ataque Z-WASP em mais de 90% dos clientes do Office 365 da Avanan e relatou o problema à Microsoft em 10 de novembro do ano passado, após confirmar sua natureza.

A Avanan então trabalhou com a equipe de segurança da Microsoft continuamente na avaliação do escopo da vulnerabilidade, que foi então abordada em 9 de janeiro.