Nieuws
image

Aanvallers omzeilen Office 365-filter via html-mails met base-tag

dinsdag 8 mei 2018, 17:25 door Redactie, 5 reacties

Aanvallers hebben een manier gevonden om het filter van Office 365 te omzeilen zodat e-mails met kwaadaardige links niet worden gefilterd, zo stelt securitybedrijf Avanan. Microsoft scant inkomende e-mails van gebruikers op bekende kwaadaardige links.

De filters van Office 365 blijken echter niet goed met de base-tag in html-mails om te gaan. Door het gebruik van deze tag is het mogelijk om de kwaadaardige link te "splitten". Links die het filter anders zou blokkeren worden in dergelijke gevallen gewoon doorgelaten. De link wordt in de e-mailclient gewoon weergegeven. De ontvanger kan echter nog steeds zien dat het om een kwaadaardige link gaat.

Volgens Avanan maken aanvallers gebruik van de techniek om de filters van Office 365 te misleiden en phishingmails te versturen. Microsoft is ingelicht, maar wanneer er een oplossing komt is onbekend. In deze video wordt de aanval gedemonstreerd.

Image

Reacties (5)
08-05-2018, 17:41 door Anoniem
Tsja, altijd een probleem met oplap-software. Persoonlijk trek ik de lijn bij html, dat hoort gewoon niet in email. Filter daarop en je hebt ook geen problemen met dat het filter de html net even iets anders interpreteert dan de eigenlijke software. Vergelijkbare problemen hebben we overigens bij IDSen gezien, op IP- en TCP-niveau.
08-05-2018, 17:43 door Anoniem
Gouden tip:
1) schakel in je browser auto redirect uit
2) of voorzie url shortners van een melding voor je ze bezoekt
3) of blokker de domeinen volledig.

Scheelt je een hoop rommel.
09-05-2018, 07:42 door Anoniem
Door Anoniem: Gouden tip:
1) schakel in je browser auto redirect uit
2) of voorzie url shortners van een melding voor je ze bezoekt
3) of blokker de domeinen volledig.

Scheelt je een hoop rommel.
Gouden tip : Geef uitleg hoe dit dan moet of zet een linkje naar uitleg.
09-05-2018, 09:41 door karma4
Door Anoniem: Tsja, altijd een probleem met oplap-software. Persoonlijk trek ik de lijn bij html, dat hoort gewoon niet in email. Filter daarop en je hebt ook geen problemen met dat het filter de html net even iets anders interpreteert dan de eigenlijke software. Vergelijkbare problemen hebben we overigens bij IDSen gezien, op IP- en TCP-niveau.

Gebruik dan geen html xml dan sgml voor het uitwisselen van informatie.

Nog beter kap met uitwisselen van informatie.
Je zult constant tegen het gebruiksgemak aan lopen dat misbruikt kan worden. Maak je het gebruikers makkelijk dat ze enkel een klik moeten doen dan doen fan doen ze dat overal op. Bouw eens gebruikers onvriendelijke software en kijk eens hoe dat gebruikt gaat worden.
09-05-2018, 12:51 door Anoniem
Door karma4:
Door Anoniem: Tsja, altijd een probleem met oplap-software. Persoonlijk trek ik de lijn bij html, dat hoort gewoon niet in email. Filter daarop en je hebt ook geen problemen met dat het filter de html net even iets anders interpreteert dan de eigenlijke software. Vergelijkbare problemen hebben we overigens bij IDSen gezien, op IP- en TCP-niveau.
Gebruik dan geen html xml dan sgml voor het uitwisselen van informatie.
Dat doe ik ook niet, nee, niet als ik er wat over te zeggen heb, en email gebruiken als bestandstransportmechanisme is meestal ook geen goed idee. Wat niet wil zeggen dat email helemaal nergens goed voor is, of dat sgml maar helemaal niet meer gebruikt moet worden. (xml mag wat mij betreft dood en html ook, html5 helemaal, al zou een minder stom alternatief voor de functies waar ze nu voor worden ingezet wellicht zo zijn nut hebben.)

Maar het is niet de correcte conclusie uit de premisse.

Nog beter kap met uitwisselen van informatie.
Dat is een beetje te kort door de bocht. Maar als je eerlijk bent weet je dat zelf ook wel.

Je zult constant tegen het gebruiksgemak aan lopen dat misbruikt kan worden. Maak je het gebruikers makkelijk dat ze enkel een klik moeten doen dan doen fan doen ze dat overal op. Bouw eens gebruikers onvriendelijke software en kijk eens hoe dat gebruikt gaat worden.
"Sure Unix is user-friendly. It's just picky about who its friends are."

Met andere woorden, wat je "gebruiksgemak" noemt is dat lang niet altijd en andersom net zo.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search