Z-WASP攻击:黑客使用零宽空间来绕过办公室365保护

Z-WASP攻击:Phishers正在使用最近固定的漏洞在Office 365中,允许它们使用零宽度空格旁路保护,并将恶意消息传递给收件人。

Microsoft最近在Office 365中修复了攻击者利用的漏洞,以绕过现有的网络钓鱼保护,并将恶意消息传递给受害者的收件箱。

在电子邮件的RAW HTML中使用零宽度空间(zwsps)使用零宽度空间(zwsps)的漏洞。此技巧允许拆分URL无法对防御系统检测恶意消息。

专家指出,使用这种技术绕过了两个URL声誉检查和安全链接保护。

坏消息是,收件人无法检测到空格,因为它们不是呈现。

云安全公司Avanan的专家首次观察到11月10日的竞选活动这个问题。微软于1月9日解决了这个问题。

“名称Z-WASP引用了Hackers在电子邮件的RAW HTML中添加到恶意URL中间的黑客的零宽度空间()。通过所有这些特殊字符破坏URL,Microsoft电子邮件处理DIDN’t无法识别它的URL,因此域名声誉检查和安全链接DIDN’t apply ” 报道 Avanan。

“当我们检测到这个问题时,Z-WASP电子邮件淹没了收件箱。由于这些零宽度空间不’T渲染,收件人无法’t看到URL中的随机特殊字符。”

专家在使用零宽度空间(zwsps)中注意到大量的phishers时发现了缺陷,以使恶意电子邮件中的链接与Office 365混淆。

“当我们注意到使用零宽度空间(zwsps)的大量黑客时发现了该漏洞,以使网络钓鱼电子邮件中的链接到Office 365,隐藏来自Office 365安全性和Office 365 ATP的网络钓鱼URL。”继续通过Avanan发布的分析。

zwsps是呈现为零宽度的空间的字符,它们可以呈现为“empty space”人物。它们是5个ZWSP实体,即(零宽度空间),(零宽度非加入者),(零宽度加入器),(零宽无间断空间)和0(全宽度数字零)。

专家解释说,在原始的HTML形式中,ZWSPS出现在MishMash的数字和特殊字符中随机插入字母或URL之间。曾经在Web浏览器中呈现,嘿似乎是不可见的。

ZWSP是普通格式的互联网的一部分,它们用于指纹识别文章和文件,格式化外语,以及在一条线结束时打破长词,并在下一行继续它们。

在专家观察到的广告系列中,Phishers在电子邮件的原始HTML中的恶意URL中间添加了零宽度非加入者(),电子邮件处理系统未能将URL识别为合法性和保护绕过。

广告系列中使用的消息包括指向用于收获追逐银行凭证的网络钓鱼页面的链接’customers.

最近观察到Z-WASP攻击的攻击是Avanan所观察到的其他技术的演变 Bastriker技术Zerofont攻击.

低于Avanan发布的攻击的视频POC:

皮奈里格帕加尼尼

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请