Office 365中的0-day漏洞baseStriker出现在野利用实例

5 月 1 日,Avanan 的研究人员发现 Office 365 中出现了一个名为 baseStriker 的 0-day 漏洞。攻击者可利用这个漏洞发送恶意邮件,绕过 Office 365 的账户安全机制。

baseStriker 漏洞的代码使用了不常用的 < base > HTML 标签,主要是为相对的链接建立基本 URL。开发者经常在 HTML 文档(网页)的 部分声明这个标签。

例如,某个网站可能通过以下方式声明其基本 URL:

声明之后,开发者会将链接加入基本 URL 的全文中,但无需将全部代码写出来:

在底层,HTML 渲染引擎(通常是浏览器)将合并基本URL和相对路径,并附带如下内容:

问题就在于,Office 365 不支持“基本”HTML 标签。因此,攻击者只需发送一封富文本格式的邮件,Office 365 就无法扫描并检测到 URL 中隐藏的恶意软件代码。这种富文本格式邮件的结构如下:

Outlook 将正确显示链接,这意味着用户可以点击链接并进入预设的页面。但是,高级威胁防护(ATP)和 Safelinks 等 Office365 安全机制在扫描链接之前不会将基本 URL 和相对路径合并在一起,这些系统只会分开扫描每个部分。

Avanan 研究员对多种电子邮件服务都进行了测试,结果发现只有 Office 365 易受 baseStriker 攻击。

baseStriker 漏洞曝光才一周左右,研究人员就发现了相关的在野利用实例。有黑客利用这个漏洞发送网络钓鱼攻击,还能分发勒索软件、恶意软件和其他恶意内容。Avanan 已经与微软联系并报告了相关调查结果,但微软尚未反馈。

在野利用详情可参考 Avanan 的演示视频:

视频内容

*参考来源:bleepingcomputer,AngelaY 编译整理,转载请注明来自 FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-05-09

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏杨建荣的学习笔记

用脚本来讲一个技术生活的故事 (r9笔记第32天)

对于生活,用文字表达是一种非常好的方式,作为技术人,我决定使用一个脚本来映射技术生活中的一些小故事,也是在今天突然想到的。 对的,你没有看错,就是下面这个命令。...

3583
来自专栏彭湖湾的编程世界

【Atom】在一个中/大型项目中,那些好用而强大的atom功能

作为一个学生党,一开始使用atom时候并没有意识到atom一些小功能的巨大作用,直到自己实习参与了项目,才知道这些功能在一个项目中是能极大提高工作效率的开发利器...

18910
来自专栏Debian社区

Qt 5.9.4 正式发布:包含近 200 项 Bug 修复

Qt 5.9.4 已正式发布,这是继 5.9正式版 之后的第四个维护版本,未添加任何新功能,但提供了大量的 Bug 修复和性能改进。

1502
来自专栏施炯的IoT开发专栏

利用WiFi在Windows Mobile上建立Ad-hoc网络

    一般情况下,我们都会使用Windows Mobile设备上的WiFi模块来接入Access Node,从而达到上网的目的。如我之前的文章《Windows...

2109
来自专栏用户2442861的专栏

window 下 pycharm的安装以及 教程(一)安装和首次使用

http://blog.csdn.net/chenggong2dm/article/details/9365437

5401
来自专栏区块链

黑客网络攻击是通过怎样的手段进行

黑客可能会利用下列的公开协议或工具,收集驻留在网络系统中的各个主机系统的相关信息: (1)TraceRoute程序。 能够用该程序获得到达目标主机所要经过的网络...

2069
来自专栏张善友的专栏

通用日志

一、背景 为软件开发提供一个现成的、定义良好的、可扩展的日志设施。所谓"现成的"意思为软件开发可以即刻使用,包括API文档、使用实例和库;"定义良好的"表示项目...

20010
来自专栏Debian社区

基于 Qt 的开源笔记软件 VNote 1.11.1 发布

新年伊始,VNote发布小更新v1.11.1。顾名思义,这次更新将会很“小”,主要是修复已知问题。当然,这次更新也有值得大家浪费带宽下载的地方:

1382
来自专栏CDN及云技术分享

微型分布式架构设计范例

设计该系统初衷是基于描绘业务(或机器集群)存储模型,分析代理缓存服务器磁盘存储与回源率的关系。

1K28
来自专栏北京马哥教育

原创投稿 | Linux操作系统下的文件系统

? 乐乐快跑,马哥门徒,马哥教育原创作者联盟成员,专注于运维领域知识分享,强于知识体系构建。 操作系统我们粗略的可以分为两层即内核层和shell层,内核层下面...

3638

扫码关注云+社区

领取腾讯云代金券