Hackers utilizan Zero-Width SPaces para omitir la protección de MS Office 365

Iniciado por AXCESS, Enero 10, 2019, 04:16:39 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

[Nota: En el presente artículo aparece la denominación: Zero-Width SPaces - ZWSP. Cuya traducción al español sería: "Espacios de Amplitud Cero" o "Espacios de Ancho Cero".
No estoy familiarizado con su denominación en español, así que pudiera variar su nomenclatura.
Si alguien tuviere la certeza de su nomenclatura, su comentario sería bienvenido.
A veces estos términos varian en su traducción, de ahí esta nota]

Los investigadores de seguridad han estado advirtiendo sobre una técnica simple que los cibercriminales y los estafadores de correo electrónico ya están utilizando de forma salvaje para eludir las características de seguridad de Microsoft Office 365, incluyendo Safe Links, que originalmente están diseñados para proteger a los usuarios de malware y ataques de phishing.

Microsoft ha incluido Safe Links en Office 365 como parte de su solución ATP (Advanced Threat Protection) que funciona al reemplazar todas las URL en un correo electrónico entrante con URL seguras propiedad de Microsoft.

Por lo tanto, cada vez que los usuarios hacen clic en un enlace enviado en un correo electrónico, Safe Links primero los envía a un dominio de propiedad de Microsoft, donde comprueba de inmediato el enlace original para detectar cualquier cosa sospechosa. Si los escáneres de seguridad de Microsoft detectan algún elemento malicioso, avisa a los usuarios al respecto y, si no, los redirige al enlace original.

Sin embargo, los investigadores de la compañía de seguridad en la nube Avanan han revelado cómo los atacantes han pasado por alto tanto la verificación de la reputación de la URL de Office 365 como las características de protección de la URL de los enlaces seguros mediante el uso de "Espacios de Ancho Cero" (Zero-Width SPaces - ZWSP).

Compatible con todos los navegadores web modernos, los "espacios de ancho cero" (enumerados a continuación) son caracteres Unicode que no se pueden imprimir y que generalmente se usan para habilitar el ajuste de línea en palabras largas, y la mayoría de las aplicaciones los tratan como espacio regular, aunque no sea visible a la vista.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Demostración de ataque de phishing con "Espacios de Ancho Cero" (ZWSP)

Según los investigadores, los atacantes simplemente están insertando múltiples espacios de ancho cero en la URL maliciosa mencionada en sus correos electrónicos de suplantación de identidad, rompiendo el patrón de la URL de manera que Microsoft no lo reconoce como un enlace.
Sin embargo, cuando los usuarios finales hicieron clic en el enlace del correo electrónico, fueron enviados a un sitio web de captura de credenciales (phishing) para la obtención de credenciales.

Los investigadores también proporcionaron una demostración en video que muestra lo que sucedió cuando enviaron una URL maliciosa a una bandeja de entrada de Office 365 sin ningún carácter ZWSP insertado en la URL y con los caracteres ZWSP insertados en la URL.



El ataque Z-WASP es otra cadena en una lista de vulnerabilidades, incluidos los ataques baseStriker y ZeroFont, que están diseñados para ofuscar contenido malicioso y confundir la seguridad de Microsoft Office 365.

La firma de seguridad descubrió el ataque Z-WASP a más del 90 por ciento de los clientes de Office 365 de Avanan y reportó el problema a Microsoft el 10 de noviembre del año pasado después de confirmar su naturaleza.

Avanan luego trabajó con el equipo de seguridad de Microsoft continuamente para evaluar el alcance de la vulnerabilidad, que luego se abordaron el 9 de enero.

Fuente:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
[/size]
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta