خبر

  • تک بورد - Microsoft Outlook اطلاعات تماس شخص واقعی را برای ایمیل های فیشینگ IDN نشان می دهد

    Microsoft Outlook اطلاعات تماس شخص واقعی را برای ایمیل های فیشینگ IDN نشان می دهد
    11 روز و 12 ساعت قبل

    حملات همنوگراف IDN برای شروع مشکلی بود. Outlook فقط آنها را بدتر کرده است.
    اگر ایمیلی از شخصی@arstechnіca.com دریافت می کنید ، آیا واقعاً از شخصی در Ars است؟ قطعاً نه - دامنه آن آدرس ایمیل همان arstechnica.com نیست که شما می شناسید. شخصیت "і" در آنجا از خط سیریلیک است و نه الفبای لاتین.

    این هم یک مشکل جدید نیست. تا چند سال پیش (اما نه دیگر) ، مرورگرهای مدرن هیچ گونه تمایز قابل توجهی در هنگام تایپ دامنه های حاوی مجموعه کاراکترهای ترکیبی در نوار آدرس ندارند.

    و به نظر می رسد Microsoft Outlook نیز از این قاعده مستثنی نیست ، اما مشکل بدتر شد: ایمیل هایی که از یک دامنه مشابه در Outlook سرچشمه می گیرند ، کارت تماس یک شخص واقعی را نشان می دهند ، که در واقع در دامنه قانونی ثبت شده است ، نه آدرس ظاهری.

    Outlook مخاطبین واقعی را نشان می دهد اطلاعات مربوط به دامنه های IDN جعلی

    این هفته ، DobbyWanKenobi حرفه ای و آزمایش کننده قلم infosec نشان داد که چگونه آنها قادر به فریب دادن جزء کتاب آدرس Microsoft Office برای نمایش اطلاعات تماس یک شخص واقعی برای آدرس ایمیل فرستنده جعلی توسط با استفاده از IDN ها نامهای بین المللی بین المللی (IDNs) دامنه هایی هستند که از مجموعه کاراکترهای ترکیبی یونیکد مانند حروف الفبای لاتین و سیریلیک تشکیل شده اند که می تواند دامنه را با یک دامنه ASCII یکسان نشان دهد.

    مفهوم IDN بود در سال 1996 برای گسترش فضای نام دامنه به زبانهای غیر لاتین و مقابله با ابهام فوق الذکر شخصیتهای مختلف که به نظر یکسان ("هموگلیف") برای انسان پیشنهاد می شود. IDN ها نیز به راحتی می توانند صرفاً در قالب ASCII ارائه شوند-نسخه "punycode" دامنه ، که هیچ ابهامی بین دو دامنه شبیه به هم باقی نمی گذارد.

    به عنوان مثال ، کپی پیست کردن شکل ظاهری "arstechnіca.com "در نوار آدرس آخرین مرورگر Chrome ، بلافاصله آن را به نمایندگی از کد اصلی خود تبدیل می کند تا از ابهام جلوگیری شود: xn--arstechnca-42i.com. این اتفاق نمی افتد وقتی که arstechnica.com واقعی - در ASCII و بدون 'і' سیریلیک ، در نوار آدرس تایپ می شود. چنین تمایز قابل مشاهده ای برای محافظت از کاربران نهایی که ممکن است ناخواسته در وب سایت های جعلی که به عنوان بخشی از کمپین های فیشینگ مورد استفاده قرار می گیرند ، محافظت شود ، ضروری است.

    تبلیغات

    اما اخیراً ، DobbyWanKenobi دریافت که این امر در Microsoft Outlook برای Windows کاملاً واضح نیست. به و ویژگی دفترچه آدرس هنگام نمایش اطلاعات تماس فرد هیچ تفاوتی ایجاد نمی کند.

    "اخیراً یک آسیب پذیری را کشف کردم که بر روی جزء دفترچه آدرس Microsoft Office برای Windows تأثیر می گذارد و می تواند به هر کسی در اینترنت اجازه دهد آزمایش کننده قلم در یک پست وبلاگ نوشت: "اطلاعات تماس کارکنان داخل یک سازمان با استفاده از یک نام دامنه بین المللی بین المللی (IDN) که شبیه ظاهر خارجی است. ] com '، مهاجمی که IDN مانند' ѕomecompany [.] com '(xn-omecompany-l2i [.] com) را ثبت می کند می تواند از این اشکال استفاده کرده و ایمیل های فیشینگ قانع کننده ای برای کارکنان "somecompany.com" ارسال کند که از Microsoft Outlook برای ویندوز استفاده می کرد. "

    به طور اتفاقی ، روز بعد ، گزارش دیگری در این مورد از سوی مایک مانزوتی ، مشاور ارشد در Dionach منتشر شد. Outlook برای ارتباطی که در دامنه "onmìcrosoft.com" Manzotti ایجاد شده است (به ì توجه کنید) ، اطلاعات تماس معتبری از فردی را که آدرس ایمیل او شامل دامنه واقعی "onmicrosoft.com" بود ، نشان داد.

    "به عبارت دیگر ، ایمیل فیشینگ کاربر NestorW@.... onm ì crosoft.com را هدف قرار می دهد ، اما جزئیات معتبر Active Directory و تصویر NestorW@.... onmicrosoft معتبر است. com می گوید انگار ایمیل از منبع معتبر آمده است. "

     https://techbord.com Microsoft Outlook اطلاعات تماس شخص واقعی را برای ایمیل های فیشینگ IDN نشان می دهد

    منزوتی علت این مشکل را در Outlook عدم اعتبار صحیح آدرس های ایمیل در برنامه های افزودنی ایمیل چند منظوره (MIME) جستجو کرده است. سرفصل ها.

    "هنگام ارسال یک ایمیل HTML می توانید SMTP" mail from "address و Mime" from "address" را توضیح دهید. "Manzotti توضیح می دهد.

    " این به این دلیل است که سرصفحه های MIME در آن محصور شده است به پروتکل SMTP MIME برای گسترش پیام های متنی ساده استفاده می شود ، به عنوان مثال هنگام ارسال ایمیل های HTML ، "او با توضیح توضیح داد:

    https://techbord.com Microsoft Outlook اطلاعات تماس واقعی واقعی برای ایمیل های فیشینگ IDN نشان می دهد

    اما ، به گفته Manzotti ، Microsoft Outlook برای Office 365 دامنه Punycode را به درستی تأیید نمی کند ، اجازه دادن به مهاجم برای جعل هویت هر گونه تماس معتبر در سازمان موردنظر. توسعه دهنده Xudong Zheng نشان داد که چگونه مرورگرهای مدرن در آن زمان نتوانستند سایت مشابه apple.com (IDN) خود را از apple.com واقعی تشخیص دهند.

    تبلیغات

    ژنگ نگران سوء استفاده از IDN ها بود توسط مهاجمان برای موارد مختلف اهداف زشت مانند فیشینگ: امکان ثبت دامنه هایی مانند "xn--pple-43d.com" ، که معادل "аpple.com" است ، وجود دارد. ممکن است در نگاه اول واضح نباشد ، اما "аpple.com" به جای "a" از خط سیریلیک (U+0430) (U+0061) استفاده می کند. این به عنوان یک حمله هموگراف شناخته می شود.

    اما مشکل در Outlook این است که برای یک ایمیل فیشینگ ارسال شده از یک IDN ، گیرنده نه تنها نمی تواند بین آدرس ایمیل جعلی و آدرس واقعی تمایز قائل شود ، بلکه همچنین کارت تماس یک مخاطب مشروع را ببینید ، بنابراین قربانی حمله می شوید.

    مشخص نیست که آیا مایکروسافت در حال حاضر تمایل دارد مشکل را در Outlook برطرف کند:

    "ما" بررسی پرونده شما به پایان رسید ، اما در این مورد ، تصمیم گرفته شد که این آسیب پذیری را در نسخه فعلی رفع نکنیم. " جعل ممکن است رخ دهد ، بدون امضای دیجیتالی نمی توان به هویت فرستنده اعتماد کرد. تغییرات مورد نیاز به احتمال زیاد باعث مثبت کاذب و مشکلات دیگری می شود. " "src =" https://techbord.com/picsbody/2109/5478-3.jpg "alt =" https://techbord.com Microsoft Outlook اطلاعات تماس مستقیم با ایمیل های فیشینگ IDN نشان می دهد ">

    مایکروسافت به درخواست Ars برای ارسال نظر از قبل پاسخ نداده است.

    محققان متوجه شده اند که این آسیب پذیری بر نسخه های 32 و 64 بیتی آخرین Microsoft Outlook برای مایکروسافت تأثیر می گذارد. 365 نسخه ، اگرچه به نظر می رسد این مسئله در نسخه 16.0.14228.20216 پس از اطلاع Manzotti به مایکروسافت دیگر قابل تکرار نبود. علاوه بر این ، Manzotti خاطرنشان می کند که این نوع حملات فیشینگ در Outlook Web Access (OWA) موفقیت آمیز نخواهد بود.

    استفاده از ویژگی های امنیتی مانند هشدارهای ایمیل "فرستنده خارجی" و امضای ایمیل چند مرحله است که سازمان ها می توانند برای جلوگیری از حملات جعلی استفاده کنید.





خبرهای دیگر از فناوری اطلاعات