Se ha descubierto que el Office 365 de Microsoft es vulnerable a una metodología de ataque que permite que los enlaces maliciosos se escapen de la mayoría de las defensas de ciberseguridad del producto al dividir esencialmente la parte peligrosa del enlace para que no sea detectada.

La firma de seguridad en la nube Avanan informó haber probado este error, llamado baseStriker, contra Office 365, Office 365 con ATP y Safelinks, Office 365 con Proofpoint MTA, Office 365 con Mimecast MTA y Gmail y encontró que solo Mimecast y Gmail están protegidos. Aquellos que usan las otras configuraciones son todos vulnerables. Microsoft y Proofpoint han sido informados, dijo Avanan.

Este reclamo es parcialmente disputado por Proofpoint.

Avana le dijo a SC Media que “baseStriker se está utilizando para propagar ataques de phishing. La vulnerabilidad está siendo utilizada por hackers maliciosos para enviar ataques más efectivos. Este método permite que alguien envíe la mayoría de los enlaces web a través de servidores MSFT sin que sea escaneado. Este enlace podría indicarle al usuario un sitio de phishing o un archivo que descarga malware o ransomware “.

BaseStriker puede penetrar en Office 365 al confundir esencialmente APT, Safelinks u otras ciberdefensas dividiendo y ocultando el enlace malicioso utilizando una etiqueta de URL <base>. El enlace malicioso se incluye en un correo electrónico, pero en lugar de ser parte del enlace principal, se separa como se ve en los dos ejemplos proporcionados por Avanan:

siguiente

“En este ejemplo, Office 365 solo realiza la búsqueda en el dominio base, ignorando la URL relativa en el resto del cuerpo. Debido a que solo se prueba parte de la URL, erróneamente parece que no existe en la base de datos de URL maliciosa y se deja pasar el correo electrónico “, indica el informe.

Avanan dijo que Microsoft y Proofpoint fueron informados del problema, lo que confirmó Proofpoint.

“Definitivamente tenemos la capacidad de bloquear las URL base en nuestras puertas de enlace para clientes preocupados; dicho esto, existe un correo legítimo que usa la técnica (incluidos los bancos), por lo que esta puede no ser la elección correcta para todas las organizaciones”, Ryan Kalember, de Proofpoint. VP sénior de estrategia de ciberseguridad le dijo a SC Media.

Kalember agregó que Proofpoint no ha visto un uso significativo de este vector de ataque; emplea muchas capas de defensa contra el contenido malicioso del correo electrónico, incluyendo protección contra, reputación de URL y reescritura de URL.

Un portavoz de Microsoft dijo en respuesta a una consulta de SC Media para comentar sobre este tema: “Microsoft tiene el compromiso del cliente de investigar los problemas de seguridad informados y proporcionar resolución lo antes posible. Alentamos a los clientes a practicar hábitos informáticos seguros al evitar abrir enlaces en correos electrónicos. de remitentes que no reconocen “.

Avanan dijo que no hay una solución para este problema, pero recomienda a los usuarios implementar la autenticación de dos factores. Esto no detendrá la instalación de malware, pero podría resistir los intentos de recolección de credenciales por parte de los hackers maliciosos.

También puedes leer: 4 tácticas para mejorar la seguridad del correo electrónico de su empresa

Agregue un comentario

Su dirección de correo no se hará público. Los campos requeridos están marcados *