Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Атака NoRelationship позволяет обходить фильтры вредоносных URL

21/02/19

hack38-1Исследователи компании Avanan сообщили о новой фишинговой атаке, позволяющей злоумышленникам обходить фильтры Microsoft для отсеивания вредоносных файлов. Если коротко, злоумышленники могут скрывать вредоносные ссылки благодаря уязвимости в решениях для сканирования электронной почты, связанной с синтаксическим анализом ссылок.

Атака, впервые зафиксированная накануне Дня святого Валентина, получила название NoRelationship. С ее помощью злоумышленники могут обходить реализованный Microsoft механизм фильтрации ссылок Exchange Online Protection (EOP), предназначенный для сканирования документов Office (в том числе .docx, .xlsx и .pptx) и уведомления пользователей в случае обнаружения вредоносного контента.

В ходе атаки злоумышленник отправляет жертве электронное письмо с вложением .docx, содержащим вредоносную ссылку на фишинговую web-страницу. Для обхода фильтров вредоносных URL он должен удалить внешние ссылки из файла xml.rels (Open Office XML Relationships File), хранящего список ссылок из вложения. Инструменты для синтаксического анализа ссылок не всегда сканируют документ полностью, а анализируют лишь ссылки в файле xml.rels. Если атакующий удалит вредоносные ссылки из этого файла, то для EOP они останутся невидимыми.

Как отметили исследователи, проблема затрагивает не только встроенные в Office механизмы безопасности, но также сканеры ProofPoint и F-Secure. Однако обойти с помощью NoRelationship решение Microsoft Advanced Threat Protection (ATP) и анализатор ссылок Mimecast нельзя.

Темы:MicrosoftУгрозы
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...