发现黑客使用新方法绕过Microsoft Office 365安全链接

被称为“安全链接”的这一功能已作为微软高级威胁保护（ATP）解决方案的一部分包含在Office 365软件中，该解决方案的工作原理是将收到的电子邮件中的所有URL替换为微软拥有的安全URL。

因此，每当用户点击电子邮件中提供的链接时，它首先会将用户发送到微软拥有的域名，该公司会立即检查原始URL是否存在任何可疑内容。如果微软的扫描仪检测到任何恶意元素，它就会警告用户，如果没有，它会将用户重定向到原始链接。
然而，云安全公司Avanan的研究人员揭示了攻击者是如何通过使用一种名为棒球前锋进攻。

棒球前锋进攻包括使用&lt；基地&gt；HTML电子邮件标题中的标记—；用于定义文档或网页中相对链接的默认基本URI或URL。

换句话说，如果基地&gt，URL已定义，则所有后续的相关链接都将使用该URL作为起点。
如上图所示，研究人员将传统网络钓鱼电子邮件的HTML代码与使用a&lt，基地&gt，标记来拆分恶意链接，使安全链接无法识别和替换部分超链接，最终在单击时将受害者重定向到钓鱼网站。
研究人员甚至提供了一个视频演示，展示了棒球前锋的进攻行动。

研究人员针对几种配置测试了BaseStricker攻击，发现“任何在任何配置中使用Office 365的人都容易受到攻击”，无论是基于web的客户端、移动应用程序还是OutLook的桌面应用程序。
Proofpoint也很容易受到棒球前锋的攻击。然而，Gmail用户和使用Mimecast保护Office 365的用户不受此问题的影响。

到目前为止，研究人员只看到黑客使用BaseStricker攻击发送网络钓鱼电子邮件，但他们认为，这种攻击可以被用来传播勒索软件、恶意软件和其他恶意软件。
Avanan在上周末早些时候向微软和Proofpoint报告了这个问题，但在撰写本文时，还没有可用的补丁来修复这个问题。