Атака NoRelationship позволяет обходить фильтры вредоносных URL

Исследователи компании Avanan сообщили о новой фишинговой атаке, позволяющей злоумышленникам обходить фильтры Microsoft для отсеивания вредоносных файлов. Если коротко, злоумышленники могут скрывать вредоносные ссылки благодаря уязвимости в решениях для сканирования электронной почты, связанной с синтаксическим анализом ссылок.

Атака, впервые зафиксированная накануне Дня святого Валентина, получила название NoRelationship. С ее помощью злоумышленники могут обходить реализованный Microsoft механизм фильтрации ссылок Exchange Online Protection (EOP), предназначенный для сканирования документов Office (в том числе .docx, .xlsx и .pptx) и уведомления пользователей в случае обнаружения вредоносного контента.

В ходе атаки злоумышленник отправляет жертве электронное письмо с вложением .docx, содержащим вредоносную ссылку на фишинговую web-страницу. Для обхода фильтров вредоносных URL он должен удалить внешние ссылки из файла xml.rels (Open Office XML Relationships File), хранящего список ссылок из вложения. Инструменты для синтаксического анализа ссылок не всегда сканируют документ полностью, а анализируют лишь ссылки в файле xml.rels. Если атакующий удалит вредоносные ссылки из этого файла, то для EOP они останутся невидимыми.

Как отметили исследователи, проблема затрагивает не только встроенные в Office механизмы безопасности, но также сканеры ProofPoint и F-Secure. Однако обойти с помощью NoRelationship решение Microsoft Advanced Threat Protection (ATP) и анализатор ссылок Mimecast нельзя.