攻擊者可以使用HTML和CSS隱藏“外部發(fā)件人”電子郵件警告

lucywang
如果IT管理員在其組織的Exchange服務(wù)器上啟用此功能,則從外部來源收到的電子郵件在由Microsoft Outlook等本機客戶端解析時,將帶有顯示在本機電子郵件客戶端應(yīng)用程序UI中的“外部”標簽,而不是電子郵件正文。

360截圖16251112669372.png

研究人員近日證實,Microsoft Outlook等客戶端向電子郵件收件人顯示的“外部發(fā)件人”警告可能被發(fā)件人隱藏。

事實證明,攻擊者只需更改幾行HTML和CSS代碼,即可更改“外部發(fā)件人”警告,或?qū)⑵鋸碾娮余]件中完全刪除。

這是有問題的,因為網(wǎng)絡(luò)釣魚攻擊者和詐騙犯可以簡單地在他們發(fā)送的電子郵件中包含一些HTML和CSS代碼,以篡改警告消息的措辭或使其完全消失。

發(fā)件人可以輕松隱藏“外部發(fā)件人”警告

電子郵件安全產(chǎn)品(例如企業(yè)電子郵件網(wǎng)關(guān))通常配置為在電子郵件從組織外部到達時向收件人顯示“外部發(fā)件人”警告。

IT管理員強制顯示此類警告,以保護用戶免受來自不可靠來源的網(wǎng)絡(luò)釣魚和欺詐電子郵件的攻擊。

但是,本周的研究人員展示了一種相當簡單的方法,電子郵件發(fā)件人可以使用這種方法來規(guī)避電子郵件安全產(chǎn)品所應(yīng)用的這種保護。

僅通過添加幾行HTML和CSS代碼,研究人員Louis Dion-Marcil就展示了外部發(fā)件人如何隱藏電子郵件中的警告。

360截圖16251112669372.png

360截圖16251112669372.png

隱藏電子郵件中的“外部發(fā)件人”警告

這是因為電子郵件安全產(chǎn)品和網(wǎng)關(guān)攔截和掃描進入的電子郵件的可疑內(nèi)容,只是簡單地將“外部發(fā)件人”警告作為HTML/CSS代碼片段注入電子郵件正文本身,而不是本機電子郵件客戶端顯示消息的UI。

這樣,包含CSS指令以覆蓋警告片段的CSS代碼(顯示規(guī)則)的由攻擊者制作的電子郵件可以使警告完全消失:

360截圖16251112669372.png

電子郵件中注入的CSS代碼隱藏了“外部發(fā)件人”警告

另一名研究人員表示,過去也注意到了這種行為,他暗示攻擊者也可以利用這個漏洞來改變警告消息:

用戶甚至可以偽造HTML和CSS而不是隱藏它們,這意味著內(nèi)容已被掃描并認為是安全的。研究人員說,這本身并不是任何電子郵件客戶端應(yīng)用程序中的錯誤,并且與客戶端無關(guān)。

研究人員表示,這實際上不是一個真正的客戶端漏洞,因此它與客戶端無關(guān)。與Outlook無關(guān)。我只是偶然在Outlook中拍攝了一個屏幕截圖,但是在Gmail,Thunderbird等中都可以使用。

這就是HTML電子郵件的限制。如果將警告添加到HTML正文中,并且攻擊者顯然控制了HTML正文,則他們可以添加CSS規(guī)則來隱藏這些元素。

Dion-Marcil在接受電子郵件采訪時對BleepingComputer表示:

該漏洞是不可能修復的,除了改用非html的警告標簽。

Microsoft Exchange本機“外部”電子郵件標簽:一個潛在的解決方案

根據(jù)BleepingComputer的報道,上個月,Microsoft Exchange宣布增加了即將推出的“外部”電子郵件標簽功能。

如果IT管理員在其組織的Exchange服務(wù)器上啟用此功能,則從外部來源收到的電子郵件在由Microsoft Outlook等本機客戶端解析時,將帶有顯示在本機電子郵件客戶端應(yīng)用程序UI中的“外部”標簽,而不是電子郵件正文。

例如,Microsoft共享的屏幕快照顯示了在Microsoft Outlook和Outlook移動應(yīng)用程序中收到的外部電子郵件,這些電子郵件在本機電子郵件客戶端的UI中顯示了“外部”標簽:

360截圖16251112669372.png

Web上的Outlook中的外部標簽

360截圖16251112669372.png

Outlook for iOS中的外部標簽

但是,一旦“外部”電子郵件標簽功能推廣到不同的Office 365環(huán)境,它將在默認情況下被禁用。

因此,對啟用此功能感興趣的IT管理員將需要使用Get-ExternalInOutlook和Set-ExternalInOutlook PowerShell cmdlet在支持的Outlook版本中查看和修改外部發(fā)件人標識配置。

微軟說:

如果啟用cmdlet,則在24-48小時內(nèi),你的用戶將開始在從外部來源(組織外部)收到的電子郵件中看到警告標簽。

在Outlook Mobile中,通過點擊郵件頂部的“外部”標簽,用戶將看到發(fā)件人的電子郵件地址。

不管電子郵件中是否包含“外部發(fā)件人”警告,或者相反,都聲稱自己是“安全”的,用戶在打開接收到的電子郵件中的任何鏈接或附件之前應(yīng)格外小心。

本文翻譯自:https://www.bleepingcomputer.com/news/security/attackers-can-hide-external-sender-email-warnings-with-html-and-css/

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論

本月熱門