Office 365, cuando la superficie de ataque es infinita

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

Investigadores de seguridad revelaron una forma de eludir una característica de seguridad de Microsoft Office 365 que los cibercriminales han utilizado para vulnerar perímetros de seguridad en diferentes compañías, diseñada originalmente para proteger a los usuarios contra el malware y los ataques de phishing.

Denominada Safe Links, la característica se ha incluido en el software Office 365 como parte de la solución Advanced Threat Protection (ATP) de Microsoft que funciona reemplazando todas las URL en un correo electrónico entrante con URL segura propiedad de Microsoft.

Por lo tanto, cada vez que un usuario hace clic en un enlace proporcionado en un correo electrónico, primero lo envía a un dominio propiedad de Microsoft, donde la empresa verifica de inmediato la URL original para detectar cualquier cosa sospechosa.

Si los escáneres de Microsoft detectan cualquier elemento malicioso, entonces advierte a los usuarios al respecto, y si no, redirige al usuario al enlace original.

Sin embargo, investigadores de seguridad han revelado cómo los atacantes han pasado por alto la función de enlaces seguros al usar una técnica llamada “ataque baseStriker”.

El ataque de BaseStriker implica el uso de la etiqueta <base> en el encabezado de un correo electrónico HTML, que se usa para definir un URI base predeterminado, o URL, para enlaces relativos en un documento o página web.

En otras palabras, si se define la URL <base>, todos los enlaces relativos posteriores usarán esa URL como punto de partida.

Esto constituye un problema de grandes dimensiones, al tomar en cuenta las dimensiones que ha tomado el servicio en todo el mundo y por la cantidad de corporaciones que han adoptado Office 365 cono servicio de base de ofimática para desarrollar sus negocios.

 

Por Luis V. Sintes Martinez Analista de Seguridad – Vintegris