[Alerta de Seguridad] Se están utilizando Zero-Width Spaces para omitir la protección de Office 365

 In Actualidad

[Alerta de Seguridad] ZeroWidth Spaces como una nueva forma de omitir la protección de Office 365

Recientemente se ha advertido acerca de una técnica simple que está siendo empleada por los atacantes de forma masiva para eludir las características de seguridad de Microsoft Office 365, incluyendo Safe Links, que originalmente están diseñados para proteger a los usuarios de malware y ataques de phishing.

Microsoft incluyó Safe Links en Office 365 como parte de su solución ATP (Advanced Threat Protection), cuya funcionamiento consiste en reemplazar todas las URL en un correo electrónico entrante con URL seguras propiedad de Microsoft.
De esta forma, cuando un usuario hace clic en un enlace proporcionado en un correo electrónico, Safe Links en primera instancia los envía a un dominio propiedad de Microsoft, donde se comprueba de inmediato el enlace original para detectar cualquier actividad maliciosa. En el caso de que se detecte algún elemento malicioso, se avisa a los usuarios, y, si no, los redirige al enlace original.

Sin embargo, una investigación reciente ha advertido sobre una nueva técnica usada por los ciberdelincuentes para ser capaces de saltarse el procedimiento de verificación de URL de Office 365 así como las características de protección de la URL de los enlaces seguros: mediante el uso de ZeroWidth Spaces (ZWSP).Compatible con todos los navegadores web modernos, los espacios de ancho cero (enumerados a continuación) son caracteres Unicode que no se pueden imprimir y que generalmente se usan para habilitar el ajuste de línea en palabras largas, y la mayoría de las aplicaciones los tratan como espacio regular, aunque no sea visible a la vista .

espacios de ancho cero

Ejemplo de ataque de phishing mediante ZeroWidth Spaces (ZWSP).

Según la investigación, los atacantes insertan múltiples espacios de ancho cero en la URL maliciosa mencionada en sus correos electrónicos de suplantación de identidad, rompiendo el patrón de la URL de manera que Microsoft no lo reconoce como un enlace, ​​no aplica la comprobación de reputación de la URL ni lo convierte con Safe Links para la comprobación posterior al clic.

  • El correo electrónico se entregó al destinatario deseado, pero en su bandeja de entrada, los usuarios no vieron los ZWSP en la URL. Sin embargo, cuando los usuarios finales hicieron clic en el enlace del correo electrónico, fueron enviados a un sitio web de captura de credenciales para la obtención de credenciales.

El ataque Z-WASP es otra cadena en una lista de vulnerabilidades, incluidos los ataques baseStriker y ZeroFont , que están diseñados para ofuscar contenido malicioso y confundir la seguridad de Microsoft Office 365.

Seguiremos informando sobre las novedades acerca de este tipo de ataques contra Microsoft Office 365.

 

Recommended Posts