《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 攻擊者可以使用HTML和CSS隱藏“外部發(fā)件人”電子郵件警告

攻擊者可以使用HTML和CSS隱藏“外部發(fā)件人”電子郵件警告

2021-06-23
來源:嘶吼專業(yè)版
關(guān)鍵詞: 電子郵件警告 MicrosoftOutlook

  研究人員近日證實(shí),Microsoft Outlook等客戶端向電子郵件收件人顯示的“外部發(fā)件人”警告可能被發(fā)件人隱藏。

  事實(shí)證明,攻擊者只需更改幾行HTML和CSS代碼,即可更改“外部發(fā)件人”警告,或?qū)⑵鋸碾娮余]件中完全刪除。

  這是有問題的,因?yàn)榫W(wǎng)絡(luò)釣魚攻擊者和詐騙犯可以簡單地在他們發(fā)送的電子郵件中包含一些HTML和CSS代碼,以篡改警告消息的措辭或使其完全消失。

  發(fā)件人可以輕松隱藏“外部發(fā)件人”警告

  電子郵件安全產(chǎn)品(例如企業(yè)電子郵件網(wǎng)關(guān))通常配置為在電子郵件從組織外部到達(dá)時(shí)向收件人顯示“外部發(fā)件人”警告。

  IT管理員強(qiáng)制顯示此類警告,以保護(hù)用戶免受來自不可靠來源的網(wǎng)絡(luò)釣魚和欺詐電子郵件的攻擊。

  但是,本周的研究人員展示了一種相當(dāng)簡單的方法,電子郵件發(fā)件人可以使用這種方法來規(guī)避電子郵件安全產(chǎn)品所應(yīng)用的這種保護(hù)。

  僅通過添加幾行HTML和CSS代碼,研究人員Louis Dion-Marcil就展示了外部發(fā)件人如何隱藏電子郵件中的警告。

微信圖片_20210623122432.jpg

  隱藏電子郵件中的“外部發(fā)件人”警告

  這是因?yàn)殡娮余]件安全產(chǎn)品和網(wǎng)關(guān)攔截和掃描進(jìn)入的電子郵件的可疑內(nèi)容,只是簡單地將“外部發(fā)件人”警告作為HTML/CSS代碼片段注入電子郵件正文本身,而不是本機(jī)電子郵件客戶端顯示消息的UI。

  這樣,包含CSS指令以覆蓋警告片段的CSS代碼(顯示規(guī)則)的由攻擊者制作的電子郵件可以使警告完全消失:

微信圖片_20210623122435.jpg

  電子郵件中注入的CSS代碼隱藏了“外部發(fā)件人”警告

  另一名研究人員表示,過去也注意到了這種行為,他暗示攻擊者也可以利用這個(gè)漏洞來改變警告消息:

  用戶甚至可以偽造HTML和CSS而不是隱藏它們,這意味著內(nèi)容已被掃描并認(rèn)為是安全的。研究人員說,這本身并不是任何電子郵件客戶端應(yīng)用程序中的錯(cuò)誤,并且與客戶端無關(guān)。

  研究人員表示,這實(shí)際上不是一個(gè)真正的客戶端漏洞,因此它與客戶端無關(guān)。與Outlook無關(guān)。我只是偶然在Outlook中拍攝了一個(gè)屏幕截圖,但是在Gmail,Thunderbird等中都可以使用。

  這就是HTML電子郵件的限制。如果將警告添加到HTML正文中,并且攻擊者顯然控制了HTML正文,則他們可以添加CSS規(guī)則來隱藏這些元素。

  Dion-Marcil在接受電子郵件采訪時(shí)對BleepingComputer表示:

  該漏洞是不可能修復(fù)的,除了改用非html的警告標(biāo)簽。

  Microsoft Exchange本機(jī)“外部”電子郵件標(biāo)簽:一個(gè)潛在的解決方案

  根據(jù)BleepingComputer的報(bào)道,上個(gè)月,Microsoft Exchange宣布增加了即將推出的“外部”電子郵件標(biāo)簽功能。

  如果IT管理員在其組織的Exchange服務(wù)器上啟用此功能,則從外部來源收到的電子郵件在由Microsoft Outlook等本機(jī)客戶端解析時(shí),將帶有顯示在本機(jī)電子郵件客戶端應(yīng)用程序UI中的“外部”標(biāo)簽,而不是電子郵件正文。

  例如,Microsoft共享的屏幕快照顯示了在Microsoft Outlook和Outlook移動應(yīng)用程序中收到的外部電子郵件,這些電子郵件在本機(jī)電子郵件客戶端的UI中顯示了“外部”標(biāo)簽:

微信圖片_20210623122439.jpg

Web上的Outlook中的外部標(biāo)簽

微信圖片_20210623122442.jpg

Outlook for iOS中的外部標(biāo)簽

  但是,一旦“外部”電子郵件標(biāo)簽功能推廣到不同的Office 365環(huán)境,它將在默認(rèn)情況下被禁用。

  因此,對啟用此功能感興趣的IT管理員將需要使用Get-ExternalInOutlook和Set-ExternalInOutlook PowerShell cmdlet在支持的Outlook版本中查看和修改外部發(fā)件人標(biāo)識配置。

  微軟說:

  如果啟用cmdlet,則在24-48小時(shí)內(nèi),你的用戶將開始在從外部來源(組織外部)收到的電子郵件中看到警告標(biāo)簽。

  在Outloook Mbile中,通過點(diǎn)擊郵件頂部的“外部”標(biāo)簽,用戶將看到發(fā)件人的電子郵件地址。

  不管電子郵件中是否包含“外部發(fā)件人”警告,或者相反,都聲稱自己是“安全”的,用戶在打開接收到的電子郵件中的任何鏈接或附件之前應(yīng)格外小心。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。