Para peneliti telah menunjukkan metode untuk melewati tindakan anti-phishing di Microsoft 365 (sebelumnya Office 365), yang meningkatkan risiko pengguna membuka email berbahaya.
Secara khusus, tindakan anti-phishing yang dapat disembunyikan adalah ‘Tips Keamanan Kontak Pertama’, yang memperingatkan penerima email di Outlook saat mereka menerima pesan dari alamat yang tidak dikenal.
Analis kepastian yang menemukan cacatnya melaporkan temuan mereka kepada Microsoft, tetapi raksasa teknologi itu memutuskan untuk tidak membahasnya saat ini.
Menyembunyikan peringatan
” Itu “Tips Keamanan Kontak Pertama” adalah fitur yang dirancang untuk memberi tahu pengguna Outlook saat mereka menerima email dari kontak baru. Fitur ini menampilkan pesan yang berbunyi: “Anda tidak sering menerima email dari xyz@example.com. Pelajari mengapa ini penting.”
Aspek utama mekanisme ini adalah bahwa peringatan ditambahkan ke badan utama email HTML, yang membuka potensi manipulasi menggunakan CSS yang tertanam dalam pesan email.
Sumber: Kepastian
Certitude menemukan bahwa ada kemungkinan untuk menyembunyikan pesan keamanan ini dengan memanipulasi CSS (Cascading Style Sheets) dalam HTML email, seperti yang ditunjukkan di bawah ini:
Sumber: Kepastian
Peran masing-masing aturan adalah sebagai berikut:
- a { tampilan: tidak ada; }: Menyembunyikan jangkar apa pun () untuk mencegah tip ditampilkan saat tautan disertakan.
- td div { warna: putih; ukuran font: 0px; }: Menargetkan elemen div dalam sel data tabel, mengubah warna font menjadi putih dan ukuran font menjadi 0, sehingga membuat teks tidak terlihat.
- tabel tbody tr td { warna latar: putih !penting; warna: putih !penting; }: Ini membuat setiap elemen td di dalam tbody tabel memiliki latar belakang putih dan teks putih, yang secara efektif membuat konten menyatu dengan latar belakang dan karenanya tampak tidak terlihat.
Ketika CSS ini digunakan dalam email phishing yang dikirim dari kontak baru ke target, tidak ada peringatan yang muncul untuk memperingatkan penerima.
Dengan penipuan yang lebih jauh, Certitude menemukan bahwa ada kemungkinan untuk menambahkan lebih banyak kode HTML yang memalsukan ikon yang ditambahkan Microsoft Outlook ke email yang dienkripsi/ditandatangani agar tampak lebih aman.
Walaupun beberapa batasan pemformatan tidak memungkinkan hasil visual yang sempurna, trik ini tetap menciptakan citra keamanan palsu yang meyakinkan yang dapat dengan mudah lolos dari pemeriksaan yang kurang cermat.
Sumber: Kepastian
Para peneliti mengatakan kepada BleepingComputer bahwa mereka belum mengamati adanya kasus eksploitasi aktif atas metode yang dijelaskan atau menemukan cara untuk memanipulasi HTML sehingga teks sembarangan ditampilkan dalam email.
Certitude mengirimkan Microsoft bukti konsep untuk teknik di atas dan laporan terperinci melalui Portal Peneliti Microsoft (MSRC).
Namun, mereka menerima tanggapan berikut dari Microsoft:
“Kami memutuskan bahwa temuan Anda valid tetapi tidak memenuhi standar kami untuk segera diperbaiki mengingat hal ini terutama berlaku untuk serangan phishing. Namun, kami tetap menandai temuan Anda untuk ditinjau di masa mendatang sebagai peluang untuk meningkatkan produk kami.” – Microsoft
BleepingComputer telah menghubungi Microsoft untuk mempelajari lebih lanjut tentang keputusannya untuk tidak mengatasi risiko tersebut, tetapi kami belum menerima tanggapan hingga dipublikasikan.
