駭客以ZWSP手法繞過Office 365 安全功能發動網釣攻擊
微軟在Office 365加入ATP 安全連結(safe link)功能防止釣魚網站,不過有安全研究人員發現駭客使用零寬字元(zero-width spaces, ZWSP)手法得以成功迴避微軟的安全檢查。
Office 365 ATP(advanced threat protection)安全連結是針對Outlook或Office 文件中的URL進行信譽為基礎(reputation-based)的檢查。在啟用安全連結的Office 365環境下,當用戶點入信件或Office文件中的對外連結時,連線會先被導向微軟網域,由系統掃瞄是否為不良連結。經檢查沒問題後,用戶才會被導向想去的目的地網站。反之則會對用戶發出警告。
但AVANAN安全研究人員去年11月發現該公司90%使用Office 365的客戶都遭到網釣郵件攻擊。經研究發現,駭客是運用名為ZWSP(zero-width spaces)或Z-WASP的URL變造方法。ZWSP是一組不可列印的Unicode字元,它會產生肉眼看不出來,但應用程式可以理解的效果,這類字元包括了​ (Zero-Width Space,零寬空格)、‌(Zero-Width No Joiner,零寬不連字)、‍(Zero-Width Joiner,零寬連字)、 (Zero-Width No-Break Space,不斷行空格)等。
在AVANAN發現到的攻擊中,駭客在郵件的惡意網站URL中加入‌(零寬不連字)符號,由於Office 365「安全連結」檢查系統出現漏洞,以致於未能辨識出來而允許用戶被導向貌似一家金融機構的釣魚網站。
在安全公司通報後,微軟安全部門已經解決了該項漏洞。
ZWSP/Z-WASP手法運用變造惡意連結來騙過安全機制的技巧類似常見的baseStriker和ZeroFont手法。前者是將URL分成base和href標籤2部份,由於微軟只會掃瞄base標籤,就會錯放連結。而後者是指在URL中加入字體大小為0的字元,即能躲過Office 365的自然語言分析。
