[Alerta de Seguridad] Se están utilizando Zero-Width Spaces para omitir la protección de Office 365

Por ITS

Posted 11 enero, 2019

[Alerta de Seguridad] Zero–Width Spaces como una nueva forma de omitir la protección de Office 365

Recientemente se ha advertido acerca de una técnica simple que está siendo empleada por los atacantes de forma masiva para eludir las características de seguridad de Microsoft Office 365, incluyendo Safe Links, que originalmente están diseñados para proteger a los usuarios de malware y ataques de phishing.

Microsoft incluyó Safe Links en Office 365 como parte de su solución ATP (Advanced Threat Protection), cuya funcionamiento consiste en reemplazar todas las URL en un correo electrónico entrante con URL seguras propiedad de Microsoft.
De esta forma, cuando un usuario hace clic en un enlace proporcionado en un correo electrónico, Safe Links en primera instancia los envía a un dominio propiedad de Microsoft, donde se comprueba de inmediato el enlace original para detectar cualquier actividad maliciosa. En el caso de que se detecte algún elemento malicioso, se avisa a los usuarios, y, si no, los redirige al enlace original.

Sin embargo, una investigación reciente ha advertido sobre una nueva técnica usada por los ciberdelincuentes para ser capaces de saltarse el procedimiento de verificación de URL de Office 365 así como las características de protección de la URL de los enlaces seguros: mediante el uso de Zero–Width Spaces (ZWSP).Compatible con todos los navegadores web modernos, los espacios de ancho cero (enumerados a continuación) son caracteres Unicode que no se pueden imprimir y que generalmente se usan para habilitar el ajuste de línea en palabras largas, y la mayoría de las aplicaciones los tratan como espacio regular, aunque no sea visible a la vista .

Ejemplo de ataque de phishing mediante Zero–Width Spaces (ZWSP).

Según la investigación, los atacantes insertan múltiples espacios de ancho cero en la URL maliciosa mencionada en sus correos electrónicos de suplantación de identidad, rompiendo el patrón de la URL de manera que Microsoft no lo reconoce como un enlace, no aplica la comprobación de reputación de la URL ni lo convierte con Safe Links para la comprobación posterior al clic.

El correo electrónico se entregó al destinatario deseado, pero en su bandeja de entrada, los usuarios no vieron los ZWSP en la URL. Sin embargo, cuando los usuarios finales hicieron clic en el enlace del correo electrónico, fueron enviados a un sitio web de captura de credenciales para la obtención de credenciales.

El ataque Z-WASP es otra cadena en una lista de vulnerabilidades, incluidos los ataques baseStriker y ZeroFont , que están diseñados para ofuscar contenido malicioso y confundir la seguridad de Microsoft Office 365.

Seguiremos informando sobre las novedades acerca de este tipo de ataques contra Microsoft Office 365.

Ciberseguridad, Office 365, Phising, Zero-Width

ITS

Titular	Nombre de la cookie	Tipo y Finalidad	Duración	¿Cuándo se instala?
Cookie propia	cookie_notice_accepted	Cookie técnica (o de gestión) que recuerda si se ha aceptado el mensaje de aviso sobre cookies para dejar de mostrarlo durante el tiempo en que esté activa.	Persistente 30 días	Cuando se accede al sitio Web
Cookie de terceros Proveedor: Incapsula	incap_ses__	Cookie técnica de seguridad que conserva los estados de los usuarios en todas las peticiones de la página. Estas cookies del propio dominio son configuradas por un servicio de terceros para filtrar automáticamente solicitudes maliciosas. Estas cookies mejoran el rendimiento y la seguridad en el sitio web.	Cookie de sesión	Cuando se accede al sitio Web
Cookie de terceros Proveedor: Incapsula	visid_incap__	Cookie técnica de seguridad que conserva los estados de los usuarios en todas las peticiones de la página. Estas cookies del propio dominio son configuradas por un servicio de terceros para filtrar automáticamente solicitudes maliciosas. Estas cookies mejoran el rendimiento y la seguridad en el sitio web.	Persistente 1 año	Cuando se accede al sitio Web