Atacul BaseStriker asupra ATP (Office 365)
Funcția Dublate Links Safe a fost inclusă în software-ul Office 365 ca parte a soluției Microsoft Advanced Threat Protection (ATP), care funcționează înlocuind toate adresele URL dintr-un e-mail primite cu adrese URL securizate deținute de Microsoft.
Astfel de fiecare dată când un utilizator dă clic pe un link furnizat într-un e-mail, acesta trimite mai întâi utilizatorul într-un domeniu deținut de Microsoft, unde compania verifică imediat adresa URL originală pentru orice link suspect. Dacă scanerele Microsoft detectează un element rău intenționat, atunci avertizează utilizatorii despre aceasta și dacă nu îl redirecționează către linkul original.
Cercetătorii de la compania de securitate Avanan au dezvăluit modul în care atacatorii au ocolit caracteristica Safe Links utilizând o tehnică numită ” atac BaseStriker “.
BaseStriker implică utilizarea etichetei <base> în antetul unui e-mail HTML – care este folosit pentru a defini un URI de bază implicit sau o adresă URL pentru legăturile relative dintr-un document sau pagină web.
Cu alte cuvinte, dacă adresa URL <base> este definită, atunci toate linkurile relative ulterioare vor folosi acel URL ca punct de plecare.
Cercetatorii au oferit chiar si o demonstratie video, care arata atacul baseStriker in actiune: