Office 365: Zero-Font-Bypassing hebelt E-Mail-Sicherheit aus

[English]Cyber-Kriminelle benutzen derzeit einen länger bekannten Zero-Font-Bypassing-Trick, um bei E-Mails die Microsoft Sicherheitsfilter von Office 365 auszutricksen und Spam auf die System zu schleusen.


Anzeige

Der ZeroFont-Bypassing-Trick

Der Ansatz ist eigentlich seit Jahrzehnten bekannt. Die ZeroFont-Technik beruht auf der Einfügung von Zeichen mit der Länge Null in normalen Text. Während diese ‘Null Pixel breiten Zeichen’ für den menschlichen Leser unsichtbar sind, kann Software natürlich den Gesamttext, einschließlich der Zeichen mit der Breite Null lesen und parsen. Hier ist ein entsprechender HTML-Tag mit dem entsprechenden style-Attribut. 

< span style="FONT-SIZE: 0px" >This is how you hide text with the ZeroFont technique < /span >

Der Trick beruht nun darin, das E-Mail-Sicherheitssystem über einen präparierten Text dazu zu bringen, dass es die Nachricht als riesigen Textblock behandelt, der keine Gefahren aufweist. Gleichzeitig gilt es, dem menschlichen Empfänger der Phishing-E-Mail den gewünschten Inhalt mit dem Köder zum Aufrufen der Phishing-Seiten anzuzeigen.

Eigentlich gibt es dazu keine Chance, da die ZeroFont-Technik seit Jahren bekannt ist und eigentlich jedes vernünftige E-Mail-Programm entsprechende Schutzmechanismen zur Erkennung dieser Versuche aufweist. Solche E-Mails werden dann als verdächtig markiert, sobald sie Text mit Nullbreite enthalten.

Office 365 patzt bei der Erkennung

Dank dem Umstand, dass auch Microsoft Office 365 inzwischen ‘as a service’ mit ständigen ‘Verbesserungen’ ausgeliefert wird, kann man gelegentlich solches alte Wissen als obsolet über Bord werfen. Nur so ist zu erklären, was die Sicherheitsforscher von Avanan, ein auf Cloud-Sicherheit spezialisiertes Unternehmen, herausgefunden haben.

Laut den Sicherheitsforschern kennzeichnet Office 3645 E-Mails mit ZeroFont-Technik nicht mehr als bösartig. Der Grund für diesen Patzer ist hauptsächlich Microsofts Vertrauen bzw. Glaube in die natürliche Sprachverarbeitung. Die E-Mails werden nach diesem Ansatz gescannt, um festzustellen, ob der Inhalt einer Nachricht textbasierte Indikatoren enthält, die häufig in Phishing- oder Betrugs-E-Mails zu finden sind. Das könnten z. B. Zahlungsaufforderungen, verschiedene Schlüsselwörter und mehr sein.

Durch die ZeroFont-Technik kann man aber genau diese natürliche Sprachverarbeitung austricksen. Dies geschieht durch das Einfügen großer Mengen von verstecktem Text ohne Breite in den Textkörper einer E-Mail. Dadurch verstecken die Betrüger diese Indikatoren für Phishing-Versuche vor den natürlichen Sprachverarbeitungsalgorithmen von Office 365. Dann kommt das ‘vor lauter Bäumen den Wald nicht mehr sehen’-Syndrom zum Tragen, so dass die Sprachauswertung durch die für das menschliche Auge unsichtbaren Texte in die Irre geleitet wird. Einen simplen Filter, der ZeroFont-Technik durch parsen der Text-Attribute erkennt und die E-Mail als unsicher erkennt, ist Microsoft zu trivial, den hat man rausgelassen. Technik ist schließlich Trumpf.

Laut den Sicherheitsforschern von Avanan wird die ZeroFont Technik inzwischen in der Praxis (in the wild) in Kombination mit anderen Tricks wie Verwendung von Punycode-URLs, Unicode-Zeichen oder Hexadezimal Escape Characters verwendet. Letzten Monat entdeckten die Avanan-Sicherheitsforscher auch, dass Office 365 keine Links zu Phishing-Sites entdeckte, die mit dem < base > HTML-Tag in zwei Teile geteilt wurden.


Werbung

Da können wir nur von Glück sagen, dass Office 365 als ‘as a service’ ständig mit neuen Funktionen ausgerollte wird und immer mal wieder Funktionen weg fallen. Das verwirrt die Betrüger auf lange Sicht so sehr, dass sie ganz meschugge werden und auf Grund der ständigen Änderungen in Office 365 künftig auf solche Angriffe verzichten. Und jetzt warte ich auf den Nikolaus, der mich morgen ganz sicher besucht.  (via Bleeping Computer)


Anzeige

Dieser Beitrag wurde unter Office, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.