Forskere har beskrevet en ny phishing-angreb, som er i stand til at omgå Microsoft skadelig fil filtre.
Tirsdag, cybersecurity firma Avanan sagde angreb, døbt NoRelationship, bruger et link parsing svaghed i e-mail-scanning produkter til at skjule skadelige links.
Først opdaget lige før Valentinsdag, NoRelationship er i stand til at omgå Microsoft Exchange Online Protection (ultimo perioden) URL-filtre, som scan Office-dokumenter herunder .docx, .xlsx, og .pptx til at advare brugerne, når skadeligt indhold er opdaget.
Den NoRelationship phishing-angreb, der omfatter en .docx vedhæftet fil, der indeholder en ondsindet link, som fører til credential høst login-sider.
Dette er en meget almindelig teknik, der anvendes af svindlere, men for at omgå sikkerhed og beskyttelse, der er ofte effektiv, angriberne bag ordningen slettet eksterne links fra en relation fil-xml.rels — som er en ægte fil, der indeholder links, der indgår i en vedhæftet fil.
Se også: Key takeaways fra fældende BRITISKE rapport om Facebook ‘ s world of “digital gangstere”
Link parsere, der bruges i software til scanning ikke altid fuld scanning af dokumenter for at kende deres risiko niveauer. I stedet, de ofte er afhængige af xml.rels filer til en liste af eksterne links i et dokument, som kan blive kontrolleret i forhold til kendte ondsindede links, der er indeholdt i trussel databaser.
Ved at slette den eksterne link poster, dette skyldes Microsoft ultimo perioden at undlade at registrere phishing-forsøg.
Ifølge Avanan, bypass-teknik er ikke kun effektiv på Microsofts standard Office 365 sikkerhed. ProofPoint og F-Secure-scannere, også undladt at finde de ondsindede links, der anvendes i NoRelationship.
CNET: Facebook står over spørgsmål fra lovgiverne om beskyttelse af personlige oplysninger for sundhed grupper
Men Microsoft Avanceret Trussel Beskyttelse (ATP) og Mimecast link parsere er både i stand til at opdage den ondsindede filer, der bruges i dette angreb.
“Som indeks i en bog, forholdet fil indeholder væsentlige dele af dokumentet — eksterne links og billeder, eller internt dokument komponenter, som font borde,” siger forskerne. “Nogle gange, nøglebegreber, er måske ikke inkluderet i indekset, men de er stadig i bogen. I dette angreb, hackere slettet eksterne links fra forholdet fil til at omgå link-parsere, der kun læse indeks snarere end “bog.””
Holdet siger, at der er sandsynligvis ingen mulighed for at løse dette problem, ud over at sørge for e-mail-scannere tackle fuld dokumenter, snarere end blot forholdet filer.
TechRepublic: år 2018 var den anden mest aktive år på record for brud på datasikkerheden, siger rapporten
Sidste måned, forskere udgivet et værktøj kaldet Modlishka, som er en reverse proxy i stand til at automatisere phishing-angreb og omgå to-faktor-autentificering (2FA).
Penetration testing, værktøj, hvis det bruges til ondsindede formål, er i stand til at sidde mellem brugere og mål hjemmesider for at optage kommunikation vandløb samt indsamle 2FA indsats i real-tid.
ZDNet har nået ud til at Microsoft og opdateres, hvis vi hører tilbage.
Tidligere og relaterede dækning
Google Earth ved et uheld afslører hemmelige militære anlæg
Denne malware bliver ATM kapring i en slot maskine spil
Tusindvis af Android-apps løbende registrering af din online aktivitet for annoncemålretning
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre