Vulnerabilidade do Microsoft 365 permite ignorar antiphishing

Vulnerabilidade do Microsoft 365 permite ignorar antiphishing. Foi encontrada uma vulnerabilidade no Microsoft 365 (antigo Office 365) que permite que agentes mal-intencionados ignorem medidas antiphishing.

Um dos recursos antiphishing disponíveis no Exchange Online Protection (EOP) e no Microsoft Defender para empresas do Office 365 é a ‘Dica de segurança no primeiro contato’.

Na dica de segurança do primeiro contato, os usuários são avisados ​​quando recebem um e-mail de um remetente com o qual normalmente não se comunicam.

Como a Dica de Segurança de Primeiro Contato é anexada ao corpo do e-mail em HTML, você pode usar tags de estilo Cascading Style Sheet (CSS) para alterar como a dica é exibida.

Como resultado, especialistas desenvolveram uma abordagem neste cenário que “esconde” a Dica de Segurança de Primeiro Contato do usuário.

Mantendo a dica de segurança escondida

quando os usuários recebem um e-mail de um remetente com quem eles normalmente não interagem. O Outlook exibe um alerta dizendo, “Você não recebe e-mails de xyz@example.com com frequência .”

Pesquisadores demonstram um e-mail em HTML que “esconde” o acesso do usuário à Dica de Segurança do Primeiro Contato. 

Embora o CSS embutido nos elementos ou o mecanismo de renderização usado pelo Outlook pareçam não oferecer suporte à aplicação de algumas regras CSS mais comuns, como display: none, height: 0px e opacity: 0 à tabela em si, ainda é possível alterar as cores de fundo e fonte para branco para tornar o alerta praticamente invisível.

“É possível alterar as cores de fundo e fonte para branco para que o alerta fique efetivamente invisível quando renderizado ao usuário final que visualiza o e-mail”, compartilharam os pesquisadores da Certitude com o Cyber ​​Security News.

O alerta não aparecerá mais no corpo do e-mail quando este código HTML for usado em um e-mail!

Além disso, especialistas falsificam os ícones que o Microsoft Outlook inclui para criptografar e/ou assinar e-mails.

Após receber relatos sobre esses problemas, a Microsoft decidiu não corrigir esse comportamento.

O MSRC da Microsoft declarou: “Determinamos que sua descoberta é válida, mas não atende aos nossos requisitos para atendimento imediato, considerando que isso se aplica principalmente a ataques de phishing .

No entanto, ainda marcamos sua descoberta para análise futura como uma oportunidade de melhorar nossos produtos”.

Fonte: GBHackers

Veja também:

• Vulnerabilidade do Microsoft Entra ID (Azure AD)
• Usando 1Password no Mac? Aplique o patch urgente
• Qual é a diferença entre monitoramento e observabilidade?
• Riscos de ataques cibernéticos podem diminuir
• Febraban oferece curso gratuito em tecnologia e cibersegurança
• Crescem ferramentas maliciosas baseadas em IA
• Precisamos falar sobre a tecnologia obsoleta em cibersegurança  
• Pedido de resgate de dados atinge grandes corporações
• I.A. e os desafios dos Sistemas Liveness
• Segundo país mais visado por Cibercriminosos
• Líderes de TI afirmam que a gravidade dos ataques aumentaram
• O que o jurídicos precisam saber sobre ataques de ransomware