Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Атака NoRelationship позволяет обходить фильтры вредоносных URL

21/02/19

hack38-1Исследователи компании Avanan сообщили о новой фишинговой атаке, позволяющей злоумышленникам обходить фильтры Microsoft для отсеивания вредоносных файлов. Если коротко, злоумышленники могут скрывать вредоносные ссылки благодаря уязвимости в решениях для сканирования электронной почты, связанной с синтаксическим анализом ссылок.

Атака, впервые зафиксированная накануне Дня святого Валентина, получила название NoRelationship. С ее помощью злоумышленники могут обходить реализованный Microsoft механизм фильтрации ссылок Exchange Online Protection (EOP), предназначенный для сканирования документов Office (в том числе .docx, .xlsx и .pptx) и уведомления пользователей в случае обнаружения вредоносного контента.

В ходе атаки злоумышленник отправляет жертве электронное письмо с вложением .docx, содержащим вредоносную ссылку на фишинговую web-страницу. Для обхода фильтров вредоносных URL он должен удалить внешние ссылки из файла xml.rels (Open Office XML Relationships File), хранящего список ссылок из вложения. Инструменты для синтаксического анализа ссылок не всегда сканируют документ полностью, а анализируют лишь ссылки в файле xml.rels. Если атакующий удалит вредоносные ссылки из этого файла, то для EOP они останутся невидимыми.

Как отметили исследователи, проблема затрагивает не только встроенные в Office механизмы безопасности, но также сканеры ProofPoint и F-Secure. Однако обойти с помощью NoRelationship решение Microsoft Advanced Threat Protection (ATP) и анализатор ссылок Mimecast нельзя.

Темы:MicrosoftУгрозы
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...