Microsoft 365’te (eski adıyla Office 365) kötü niyetli kişilerin kimlik avı önleme önlemlerini aşmalarına olanak tanıyan bir güvenlik açığı bulundu.
Exchange Online Protection (EOP) ve Microsoft Defender’da Office 365 işletmelerine sunulan kimlik avı önleme özelliklerinden biri de ‘İlk Temas Güvenlik İpucu’dur.
İlk temas güvenlik ipucunda, kullanıcılar normalde iletişim kurmadıkları bir göndericiden e-posta aldıklarında uyarılırlar.
İlk Temas Güvenlik İpucu HTML e-posta gövdesine eklendiğinden, ipucunun nasıl görüntüleneceğini değiştirmek için Basamaklı Stil Sayfası (CSS) stil etiketlerini kullanabilirsiniz.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access
Sonuç olarak uzmanlar bu senaryoda İlk Temas Güvenlik İpucu’nu kullanıcıdan “gizleyen” bir yaklaşım geliştirdiler.
Güvenlik İpucunu Gizli Tutmak
kullanıcılar normalde etkileşimde bulunmadıkları bir göndericiden e-posta aldıklarında Outlook, “Sık sık e-posta almazsınız” uyarısını görüntüler. [email protected].”
Araştırmacılar, kullanıcının İlk Temas Güvenlik İpucu’na erişimini “gizleyen” bir HTML e-postasını gösteriyor.
Outlook’un kullandığı öğelerdeki satır içi CSS veya oluşturma motoru, display: none, height: 0px ve opacity: 0 gibi daha yaygın CSS kurallarının tabloya uygulanmasını desteklemiyor gibi görünse de, uyarıyı pratik olarak görünmez kılmak için arka plan ve yazı tipi renklerini beyaza değiştirmek hâlâ mümkündür.
Certitude araştırmacıları Cyber Security News’e, “E-postayı görüntüleyen son kullanıcıya uyarının etkili bir şekilde görünmez olması için arka plan ve yazı tipi renklerini beyaz olarak değiştirmek mümkün” dedi.
Bu HTML kodu bir e-postada kullanıldığında uyarı artık e-posta gövdesinde görünmeyecektir!
Bunun ötesinde uzmanlar, Microsoft Outlook’un e-postaları şifrelemek ve/veya imzalamak için eklediği simgeleri de sahtekarlıkla kullanıyor.
Microsoft, bu sorunlarla ilgili raporları aldıktan sonra bu davranışı düzeltmemeye karar verdi.
Microsoft MSRC, “Bulgularınızın geçerli olduğunu, ancak bunun esas olarak kimlik avı saldırıları için geçerli olduğunu göz önünde bulundurarak, anında müdahale için çıtamızı karşılamadığını tespit ettik.” dedi.
Ancak, bulgularınızı yine de gelecekte incelemek üzere ürünlerimizi geliştirme fırsatı olarak işaretledik”.
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide