Các nhà nghiên cứu bảo mật tiết lộ rằng một số nhóm hack đã tìm ra cách mới để vượt qua một tính năng bảo mật của Microsoft Office 365 mà vốn được thiết kế để bảo vệ người dùng khỏi phần mềm độc hại và tấn công lừa đảo.

Được gọi là Liên kết an toàn, tính năng này được đưa vào phần mềm Office 365 như một phần của giải pháp Advanced Threat Protection (ATP) của Microsoft, hoạt động bằng cách thay thế tất cả các URL trong email đến bằng các URL bảo mật do Microsoft sở hữu.

Vì vậy mỗi lần người dùng nhấp vào liên kết được cung cấp trong email thì trước tiên họ sẽ được gửi đến miền thuộc sở hữu của Microsoft, nơi công ty kiểm tra URL ban đầu để tìm xem có dấu hiệu đáng ngờ. Nếu máy quét của Microsoft phát hiện bất kỳ phần tử độc hại nào, nó sẽ cảnh báo người dùng về chúng và nếu không, nó sẽ chuyển hướng người dùng đến liên kết gốc.

Tuy nhiên các nhà nghiên cứu tại công ty bảo mật đám mây Avanan tiết lộ rằng những kẻ tấn công đã vượt qua tính năng Liên kết an toàn bằng cách sử dụng một kỹ thuật được gọi là “tấn công baseStriker“.

Cuộc tấn công baseStriker liên quan đến việc sử dụng thẻ <base> trong tiêu đề của HTML email — được sử dụng để xác định URI cơ sở mặc định hoặc URL cho các liên kết tương đối trong tài liệu hoặc trang web.

Nói cách khác, nếu URL <base> được xác định thì tất cả các liên kết tương đối tiếp theo sẽ sử dụng URL đó làm điểm bắt đầu.

Hacker sử dụng baseStriker để vượt qua liên kết an toàn của Office 365

Như được hiển thị trong ảnh ở trên, các nhà nghiên cứu đã so sánh mã HTML của một email lừa đảo truyền thống với một thẻ sử dụng thẻ <base> để phân tách liên kết độc hại khi mà Liên kết an toàn thất bại trong việc xác định và thay thế một phần siêu liên kết, dẫn đến việc chuyển hướng nạn nhân tới trang web lừa đảo khi liên kết được nhấp.

Các nhà nghiên cứu thậm chí còn cung cấp một video PoC để cho thấy cuộc tấn công baseStriker diễn ra như thế nào.

Các nhà nghiên cứu đã thử nghiệm tấn công baseStriker để chống lại một số cấu hình và nhận thấy rằng “bất kỳ ai sử dụng Office 365 trong bất kỳ cấu hình nào đều dễ bị tổn thương”, có thể là ứng dụng khách trên nền web, ứng dụng di động hoặc ứng dụng máy tính để bàn của OutLook.

Proofpoint cũng dễ bị ảnh hưởng bởi cuộc tấn công baseStriker. Tuy nhiên người dùng Gmail và những người bảo vệ Office 365 của họ với Mimecast thì không bị ảnh hưởng bởi sự vấn đề này.

Cho đến nay, các nhà nghiên cứu chỉ tìm thấy tin tặc sử dụng cuộc tấn công baseStriker để gửi email lừa đảo nhưng họ tin rằng cuộc tấn công có thể được sử dụng để phân phối mã độc tống tiền, phần mềm độc hại…

Hacker sử dụng baseStriker để vượt qua liên kết an toàn của Office 365

Avanan đã báo cáo vấn đề này cho cả Microsoft và Proofpoint vào cuối tuần trước nhưng không có bản vá nào có sẵn để khắc phục vấn đề tại thời điểm viết bài.