Перетяжка IT-коробка
Перетяжка IT-коробка
Перетяжка IT-коробка
Написать пост

🔥 Манипуляции с CSS в HTML-письмах обходят предупреждения безопасности в Outlook

Новости

Обычно хакерские инъекции представляешь как что-то сложное и многоуровневое. Но бывают случаи куда более простые

135 открытий3К показов
🔥 Манипуляции с CSS в HTML-письмах обходят предупреждения безопасности в Outlook

Исследователи обнаружили метод обхода антивирусной защиты в Outlook, что повышает риск открытия пользователями вредоносных писем.

Уязвимость связана с функцией «First Contact Safety Tip», которая предупреждает получателей в Outlook при получении письма с неизвестного адреса.

Обход предупреждений безопасности

Аналитики Certitude, обнаружившие эту уязвимость, сообщили о своем открытии Microsoft, но компания пока не приняла мер по устранению проблемы.

Функция «First Contact Safety Tip» предназначена для оповещения пользователей Outlook при получении писем от новых контактов. Она выводит сообщение: «Вы не часто получаете письма от xyz@example.com. Узнайте, почему это важно».

Скрытие предупреждения

Главная особенность этой функции заключается в том, что предупреждение добавляется к основному тексту HTML-письма, что открывает возможность для манипуляций с использованием CSS, встроенного в письмо.

CSS Grid и Flexbox: эволюция макетов в веб-дизайне
tproger.ru

Certitude обнаружила, что можно скрыть это сообщение безопасности, изменив CSS, как показано ниже:

			<head>
<style>
a { display: none; }
td div { color: white; font-size: 0px; }
table tbody tr td { background-color: white !important; color: white !important; }
</style>
</head>

Подобные изменения делают предупреждение невидимым для получателя письма.

Certitude также нашла способ добавить HTML-код, который подделывает иконки, добавляемые Outlook к зашифрованным/подписанным письмам, чтобы они выглядели более безопасными.

Реакция Microsoft

Certitude отправила Microsoft доказательство концепции этих техник и подробный отчет через Microsoft Researcher Portal (MSRC). Однако, Microsoft ответила:

Мы определили, что ваше обнаружение действительно, но не соответствует нашим требованиям для немедленного обслуживания, учитывая, что это в основном применимо к фишинговым атакам. Тем не менее, мы отметили ваше обнаружение для будущего рассмотрения как возможность улучшить наши продукты.

На момент публикации Microsoft не дала дополнительных комментариев по поводу своего решения не устранять риск немедленно.

Следите за новыми постами
Следите за новыми постами по любимым темам
135 открытий3К показов
Также рекомендуем
Фронтенд-разработка: чем занимаются и сколько зарабатывают специалисты
Фронтенд-разработка: чем занимаются и сколько зарабатывают специалисты
Профессия фронтенд-разработчика сейчас в числе самых востребованных в IT. Разбираем базовые вопросы для тех, кто планирует стать фронтенд-разработчиком.
В плагине для IDE от JetBrains нашли дыру, которая приводила к утечке учетных данных
В плагине для IDE от JetBrains нашли дыру, которая приводила к утечке учетных данных
В IDE JetBrains обнаружили плагин для GitHub, который имел неприятную дыру в безопасности. Через нее можно было красть учетные данные пользователей
Реструктуризация команды, подводные ДЦ и фэнтези о лисах. Ретроперспектива недели с Евгением Антоновым
Реструктуризация команды, подводные ДЦ и фэнтези о лисах. Ретроперспектива недели с Евгением Антоновым
Ретроперспектива недели на Tproger. Во втором выпуске — Евгений Антонов, старший технический менеджер проектов в Yandex Infrastructure и IT-консультант, рассказывает о реструктуризации, подводных дата-центрах Microsoft и секретах управления IT-командами.
Стилизация участков текста с помощью CSS Custom Highlight API
Стилизация участков текста с помощью CSS Custom Highlight API
В этой статье я расскажу, как с помощью CSS Custom Highlight API можно стилизовать выделенные диапазоны текста, а также разберу теорию на практическом примере.