Pesquisadores demonstraram um método para burlar uma medida anti-phishing no Microsoft 365 (anteriormente Office 365), aumentando o risco de usuários abrirem emails maliciosos.
Especificamente, a medida anti-phishing que pode ser ocultada é a 'First Contact Safety Tip' (Dica de Segurança ao Primeiro Contato), que avisa os destinatários de email no Outlook quando recebem uma mensagem de um endereço desconhecido.
Analistas da Certitude, que descobriram a falha, relataram suas descobertas à Microsoft, mas a gigante da tecnologia decidiu não tratar dela no momento.
A "First Contact Safety Tip" é um recurso projetado para alertar usuários do Outlook quando recebem emails de novos contatos.
Ele exibe uma mensagem que diz: "Você não costuma receber e-mails de [email protected]. Saiba por que isso é importante."
O aspecto-chave desse mecanismo é que o alerta é anexado ao corpo principal do email HTML, abrindo a possibilidade de manipulação usando CSS incorporado numa mensagem de email.
A Certitude descobriu que é possível ocultar essa mensagem de segurança manipulando o CSS (Cascading Style Sheets) dentro do HTML do email, como mostrado abaixo:
A função de cada regra é a seguinte:
-a { display: none; }: Oculta quaisquer tags de âncora (<a>) para prevenir que a dica seja exibida quando um link é incluído.
-td div { color: white; font-size: 0px; }: Mira nos elementos div dentro das células de dados da tabela, mudando a cor da fonte para branco e o tamanho da fonte para 0, tornando o texto invisível.
-table tbody tr td { background-color: white !important; color: white !important; }: Isso faz com que qualquer elemento td dentro do tbody de uma tabela tenha um fundo branco e texto branco, efetivamente fazendo o conteúdo se mesclar ao fundo e assim parecer invisível.
Quando esse CSS é usado em um email de phishing enviado de um novo contato para um alvo, nenhum alerta aparece para avisar o destinatário.
Levando a decepção ainda mais adiante, a Certitude descobriu que também é possível adicionar mais código HTML que simula os ícones que o Microsoft Outlook adiciona aos emails criptografados/assinados para fazê-los parecer ainda mais seguros.
Apesar de algumas limitações de formatação não permitirem um resultado visual perfeito, o truque ainda cria uma falsa imagem convincente de segurança que poderia facilmente passar por inspeções menos cuidadosas.
Os pesquisadores informaram que não observaram nenhum caso de exploração ativa do método descrito ou encontraram maneiras de manipular o HTML para que um texto arbitrário seja exibido no e-mail.
A Certitude enviou à Microsoft uma prova de conceito para as técnicas acima e um relatório detalhado via Microsoft Researcher Portal (MSRC).
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...