Microsoft
L' avis anti-phishing di Outlook contourné avec un simple CSS...
John Faster • mercredi 7 août 2024 • 2 minutes de lecture (315)
Le point :
Pour vous aider à avoir plus d'attention aux e-mails provenant d'adresses inconnues, Microsoft 365 ajoute un avertissement à votre e-mail indiquant ce message "Vous ne recevez pas souvent des e-mails de xyz@example.com. Découvrez pourquoi c'est important."Le soi-disant "First Contact Safety Tip (Conseil de sécurité pour le premier contact)" - qui fait partie d'Exchange Online Protection (EOP) et de Microsoft Defender.
- Ce n'est pas suffisant ? Oui, peut-être, mais c'est certainement mieux que rien et peut attirer l'attention de l'utilisateur. Nous sommes tous d'accord.
- Selon les chercheurs qui ont identifié cette vulnérabilité, cette fonctionnalité peut être (facilement) contournée en manipulant le CSS dans les emails HTML, permettant l'affichage de messages malveillants sans l'avertissement destiné à protéger les utilisateurs.
Comment :
La méthode consiste à utiliser des règles CSS spécifiques pour masquer l'indice de sécurité, le rendant ainsi invisible aux destinataires.- CSS peut être appliqué à l'e-mail pour empêcher l'apparition de l'info-bulle et changer la couleur du texte en blanc et sa taille à zéro,
en le mélangeant efficacement à l'arrière-plan.
a { display: none; } td div { color: white; font-size: 0px; } [...] - Ce type de manipulation peut également créer un faux sentiment de sécurité en usurpant les icônes de sécurité de Microsoft Outlook.
Et maintenant ?
Bien que Certitude ait signalé cette vulnérabilité à Microsoft, la société a choisi de ne pas y remédier immédiatement, déclarant qu'elle ne répondait pas à ses critères d'action urgente. Microsoft a reconnu la validité des résultats, mais a indiqué qu'ils seraient pris en compte pour de futures améliorations du produit."Nous avons déterminé que votre conclusion est valide mais ne répond pas à nos exigences de service immédiat, étant donné qu'elle s'applique principalement aux attaques de phishing. Cependant, nous avons quand même marqué votre découverte pour un examen futur comme une opportunité d'améliorer nos produits. Microsoft MSRC, 14.02.2024".
Source : certitude consulting - o365-anti-phishing-measures