آفیس ۳۶۵ هر رایانامه‌ی جعلی از طرف مایکروسافت را معتبر شناسایی می‌کند

۶وجود یک آسیب‌پذیری در آفیس ۳۶۵ باعث شده مهاجمان با بهره‌برداری از آن، رایانامه‌های مخرب را برای کاربران ارسال کنند و این‌گونه به نظر برسد که این رایانامه‌ها از سمت یک شرکت قانونی با آدرس microsoft.com ارسال شده است.

این آسیب‌پذیری توسط اوتکون سن کشف شده است. این فرد اهل ترکیه بوده و بسیار به مسائل حوزه‌ی امنیت علاقه‌مند است و با اهداف آموزشی یک باج‌افزار با نام Hidden Tear را به‌طور متن‌باز منتشر کرده است.

سن در حالی این آسیب‌پذیری را کشف کرد که بر روی سرویس‌های رایانامه‌ی Outlook ۳۶۵، جی‌میل و Yandex مسدودکننده‌ی هرزنامه را آزمایش می‌کرد. در طول آزمایش از ابزار ارسال رایانامه با مهندسی اجتماعی۱ (SEES) استفاده کرد. او مشاهده کرد پس از اعتبارسنجی رایانامه با استفاده از رایانامه‌ی شناسایی‌شده توسط کلید دامنه ۲(DKIM)، سرویس Yandex برخی از این هرزنامه‌ها را معتبر شناخته و آن‌ها را با آیکون سبز نشان می‌دهد.

او فهمید که رایانامه‌هایی که از آدرس جعلی microsoft.com دریافت می‌شوند و از سمت Outlook ۳۶۵ فوروارد شده‌اند، معتبر شناخته می‌شوند. بررسی‌های بیشتر این محقق نشان داد رایانامه‌های ارسالی با آدرس جعلی microsoft.com که از سمت Outlook فوروارد می‌شوند، توسط جی‌میل نیز معتبر شناخته می‌شوند.

این مشکل تنها برای رایانامه‌هایی وجود دارد که از سمت آدرس جعلی microsoft.com ارسال شده‌اند. وقتی از آدرس‌های جعلی دیگر برای ارسال هرزنامه استفاده می‌شود، این رایانامه‌ها به پوشه‌ی هرزنامه وارد می‌شوند.
سن نتوانست دلیل بروز این مشکل را توضیح دهد ولی یکی از کاربران Reddit گفت که احتمالا مشکل از آنجا ناشی می‌شود که Outlook رایانامه‌های فورواردشده را با کلید DKIM خودش امضاء می‌کند.

این کاربر Reddit گفت: «این مشکل از آنجا ناشی می‌شود که رایانامه باید با شناسه‌ای از سمت ارسال‌کننده‌ی اصلی به اثبات برسد اما در این شرایط رایانامه با شناسه‌ی فورواردکننده ارسال می‌شود. زمانی‌که Outlook می‌خواهد رایانامه‌ای را فوروارد کند، امضای کور بر روی آن انجام می‌دهد. اگر آدرس رایانامه چیزی شبیه به something(at)microsoft.com باشد، به‌طور تصادفی بخاطر امضای کور Outlook این رایانامه دارای امضای DKIM اصلی مربوط به مایکروسافت خواهد بود حتی اگر رایانامه از طرف مایکروسافت نبوده باشد.»

این محقق ماه سپتامبر این مسئله را به مایکروسافت و Yandex اطلاع داد. مایکروسافت وجود این آسیب‌پذیری را تایید و در ماه اکتبر وصله کرده و از این محقق قدردانی کرد. Yandex نیز آیکون سبز اعتبارسنجی را حذف کرد.
۱. Social Engineering Email Sender
۲. DomainKeys Identified Mail

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter