记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Z—WSP漏洞,网络钓鱼绕过Office 365保护

2019-01-14 18:45

据云安全公司Avanan的研究发现,最近一些网络钓鱼活动中利用了Office 365的一个漏洞,允许他们使用零宽度空格(Z-WSP)绕过钓鱼保护并向收件人发送恶意邮件。该漏洞与电子邮件原始HTML中的恶意URL中使用的零宽度空格有关。黑客通过分割URL的方法,使得防御系统不能检测到恶意信息。在收到报告后,直到上周微软公司才修复了这一漏洞。

什么是零宽度空格?

零宽度空格,顾名思义即,具有空格的功能,但宽度为零。举个例子来说,我们在word里面按一个空格,然后选中、缩放、调间距,然后就变成了零宽度空格。有五种零宽度空格形式,分别是:

​(Zero-Width Space)

‌(Zero-Width Non-Joiner)

‍(Zero-Width Joiner)

(Zero-Width No-Break Space)

0(Full-Width Digit Zero)

专家解释说,在原始的HTML表单中,零宽度空格看起来就像数字和特殊字符的混合,并随机插入在URL的单词或字母之间;然而,但在浏览器中,这些字符却不可见,呈现的内容似乎与一个标准URL没有什么差别。

零宽度空格的一些常见用途包括:

指纹识别文章和文件;

格式化外语;

在一行的末尾打断长单词,并在下一行继续输入。

零宽度空格钓鱼活动的攻击原理

在零宽度空格钓鱼活动中,&#8204(Zero-Width Non-Joiner)被添加到电子邮件原始HTML中的恶意URL中间。

Microsoft电子邮件的处理机制无法将此URL识别为合法URL,也未应用URL信誉检查或以安全链接(Safe Links)转化后进行点击检查。电子邮件发送给目标收件人,但是在他们的收件箱中,用户无法在URL中发现零宽度空格.

当终端用户点击电子邮件中的链接时,他们会被引导至一个骗取登陆凭证的网络钓鱼网站。在下面的例子中,美国大通银行就是这样受骗的。

将鼠标悬停在下面的URL上可以查看Microsoft Security如何查看包含零宽度空格的URL以及URL将如何呈现给收件人之间的区别。

零宽度空格标志着Office 365网络钓鱼攻击的演变

零宽度空格是一系列漏洞利用攻击中的一种,旨在隐藏恶意内容并打破Office 365安全性。Avanan去年发现的两个类似漏洞利用攻击技术包括baseStriker和ZeroFont攻击。在baseStriker攻击中,URL被分为两部分:base和href  标记。Microsoft只能扫描base标记,这样恶意部件就得以通过。而ZeroFont攻击则使用文本模糊处理漏洞来绕过ATP,通过添加字体大小为0的字符,在向用户显示网络钓鱼电子邮件的文本时,欺骗Office 365的自然语言分析。

零宽度空格攻击与此前两种攻击技术有类似之处,但最终凭借其独创性和简洁性超越了“前辈”,可视为其升级版。

知识来源: www.mottoin.com/tech/134099.html

阅读:87718 | 评论:0 | 标签:技术控 漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“Z—WSP漏洞,网络钓鱼绕过Office 365保护”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词