警告：黑客正利用零宽空格绕过 MS Office 365 防护措施

聚焦源代码安全，网罗国内外最新资讯！

编译：360代码卫士团队

安全研究人员警告称，网络犯罪分子和邮件诈骗者正在利用一种简单技术绕过微软Office 365的安全功能，包括旨在保护用户免受恶意软件和钓鱼攻击的Safe Links。

Safe Links被Office365集成到高阶威胁防护(ATP)解决方案中，它可通过微软所有的安全URL替换收件箱中的所有URL来运作。

因此，每当用户点击邮件中的某个链接时，Safe Links首先会将链接发送到微软所有的域名中，以检查原始链接中是否含有可疑内容。如果微软的安全扫描器检测到任何恶意元素，它向用户发出警告信息，如未发现则将用户重定向至原始链接。

然而，云安全公司Avanan的研究人员披露了攻击者如何使用零宽空格(ZWSPs)绕过Office 365的URL名誉检测和Safe Links URL防护功能。

零宽字符受所有现代web浏览器的支持好，它们是非打印的Unicode字符，通常用于启用长词中的自动换行，而且多数应用程序将其处理为常规的空格，即使肉眼并不可见。

零宽空格钓鱼攻击演示

研究人员表示，攻击者仅通过在恶意URL中插入多个零宽空格就能破坏微软无法识别为链接的URL模式。

然而，当终端用户点击邮件中的这个链接时，会登录到凭证捕获钓鱼网站上。研究人员也在演示视频中展示了将恶意URL发送到Office 365收件箱且没有在URL中插入和不插入ZWSP字符时发生的情况。

Z-WASP攻击是多个利用列表中的另外一个链，包括baseStriker和ZeroFont攻击。这些利用旨在混淆恶意内容并绕过微软Office 365的安全措施。

研究人员在超过90%使用Office 365的Avanan公司客户中发现了Z-WASP攻击，并在去年11月10日将问题告知微软。之后，Avanan公司和微软一道评估了该漏洞的影响范围，并在2019年1月9日予以修复。

https://thehackernews.com/2019/01/phishing-zero-width-spaces.html