La protección contra phishing de Microsoft 365 se puede evitar mediante CSS – Hacker

Los investigadores de Certitude han demostrado una forma de eludir la protección antiphishing en Microsoft 365 (anteriormente Office 365). Sin embargo, las vulnerabilidades aún no se han solucionado.

Los expertos dicen que hay una manera de ocultar el consejo de seguridad del primer contacto. Como sugiere el nombre, el consejo de seguridad para el primer contacto está diseñado para alertar a los usuarios de Outlook cuando reciben correos electrónicos de nuevos contactos. Muestra un mensaje como este: “No recibes correos electrónicos de [email protected] con frecuencia. Descubra por qué esto es importante”.

La clave aquí es que la advertencia se agrega directamente al cuerpo HTML principal del correo electrónico, lo que abre la posibilidad de manipular el CSS incrustado en el correo electrónico.

Los investigadores de Certitude escriben que este mensaje se puede ocultar fácilmente de la siguiente manera.

Es decir, el texto y el color de fondo se cambian a blanco, el tamaño de fuente se establece en 0, lo que finalmente oculta la advertencia y la hace invisible para el usuario.

Llevando esta idea más allá, los expertos descubrieron que podían agregar código HTML adicional a los correos electrónicos que imitaran los íconos que Microsoft Outlook agrega a los correos electrónicos cifrados y firmados para que parezcan seguros. Aunque algunas limitaciones de formato impiden una coincidencia visual perfecta, este truco aún puede ayudar a evitar comprobaciones poco exhaustivas.

Los investigadores señalan que no conocen casos de explotación de los errores descritos y no han encontrado formas de manipular HTML para mostrar texto arbitrario en un correo electrónico.

Certitude notificó a Microsoft sus hallazgos enviando una prueba de concepto y un informe detallado a los desarrolladores a través del Microsoft Researcher Portal (MSRC). Sin embargo, los representantes de Microsoft dieron a los investigadores la siguiente respuesta:

“Hemos llegado a la conclusión de que su información está fundamentada pero no cumple con nuestros criterios de respuesta inmediata porque [проблема] se puede utilizar principalmente para ataques de phishing. Sin embargo, hemos tomado nota de esta información para revisarla más a fondo y mejorar nuestros productos”.

2024-08-09 10:30:57
#protección #contra #phishing #Microsoft #puede #evitar #mediante #CSS #Hacker,

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More

Privacy & Cookies Policy