Microsoft 365 (eski adıyla Office 365) kullanıcılarını korumak için çeşitli kimlik avı önleme önlemleri uygulamış olsa da araştırmacılar uygulama içerisinde İlk Temas Güvenlik İpucu özelliği için bir geçiş yolu buldular.
Araştırmacılar, bu güvenlik önlemlerinin CSS konusunda yeterli bilgiye sahip kararlı saldırganlar tarafından nasıl aşılabileceğini gösterdi.
Microsoft 365 Kimlik Avı Önleme İlk Temas Güvenlik İpucunu Manipüle Etme
Microsoft 365’teki kimlik avı önlemeye yönelik temel özelliklerden biri, kullanıcıları normalde iletişim kurmadıkları bir adresten e-posta aldıklarında uyaran İlk Temas Güvenlik İpucu’dur. Ancak araştırmacılar, e-postanın HTML kodunu manipüle ederek bu önlemi aşmanın bir yolunu keşfettiler.
Güvenlik açığı, güvenlik ipucunun, CSS stil etiketleri kullanılarak e-postanın HTML kodunun değiştirilmesiyle kullanıcıdan gizlenebilmesi gerçeğinde yatmaktadır. Bu, arka plan ve yazı tipi renklerinin beyaz olarak değiştirilmesiyle yapılabilir ve güvenlik ipucu kullanıcı için etkili bir şekilde görünmez hale getirilir.
Certitude araştırmacıları, stratejik CSS stilini kullanarak İlk Temas Güvenlik İpucu’nu e-postanın alıcısından etkili bir şekilde “gizleyebildiler”. Bu, arka plan ve yazı tipi renklerini beyaza değiştirerek ve uyarıyı kullanıcı için etkili bir şekilde görünmez hale getirerek başarıldı.
Bulguları üzerine inşa edilen araştırmacılar, Microsoft 365’in kimlik avı karşıtı savunmalarını bir adım öteye taşıdılar. Outlook’un kullanıcıların şifrelenmiş ve/veya imzalanmış e-postaları tanımasını sağlamak için kullandığı simgeleri taklit etmeyi başardılar ve benzerlik düzeyi nedeniyle daha dikkatli kullanıcıları bile aldattılar.
Sorumlu Açıklama ve Microsoft’un Tepkisi
Kavram kanıtlarını geliştirip bir danışma hazırladıktan sonra araştırmacılar, Microsoft Araştırmacı Portalı (MSRC) aracılığıyla sorunları sorumlu bir şekilde Microsoft’a açıkladılar. Microsoft, bulguların geçerliliğini kabul etse de, sorunların “çoğunlukla kimlik avı saldırıları için geçerli” olduğunu ve ürünlerini iyileştirmek için bir fırsat olarak gelecekte incelenmek üzere işaretleneceklerini belirterek güvenlik açıklarını hemen ele almamayı seçtiler.
Bulgunuzun geçerli olduğunu belirledik ancak bunun esas olarak kimlik avı saldırıları için geçerli olması göz önüne alındığında, anında hizmet verme çıtamızı karşılamıyor. Ancak, yine de bulgunuzu ürünlerimizi iyileştirme fırsatı olarak gelecekteki inceleme için işaretledik. – Microsoft MSRC, 14.02.2024
İlk Temas Güvenlik İpucu atlama açığının keşfi, hiçbir güvenlik sisteminin kusursuz olmadığını ve kullanıcıların kimlik avı saldırılarına karşı her zaman yeterli önlemi alması gerektiğini gösteren güzel bir örnektir.
Bireysel/çalışan düzeyinde kimlik avı önleme önlemleri, tanımadığınız göndericilerden gelen e-postalara karşı dikkatli olmayı, alışılmadık biçimlendirme veya yazım hatalarını kontrol etmeyi ve herhangi bir işlem yapmadan önce e-postaların gerçekliğini doğrulamayı içerebilir.
Kurumsal düzeyde, Microsoft 365’e güvenen kuruluşların güvenlik ekipleri, mevcut kimlik avı önleme özelliklerini tamamlayacak ek güvenlik önlemleri uygulamayı düşünebilir.