La técnica baseStriker, descubierta por investigadores de seguridad informática de la empresa Avanan, permite eludir los filtros antiphishing dividiendo y enmascarando un enlace malicioso usando una etiqueta llamada etiqueta de URL <base>, utilizada por los actores maliciosos en la naturaleza para eludir la función `Safe Links` de Microsoft Office 365.
La función Safe Links diseñada por Microsoft para proteger a los usuarios de los códigos maliciosos y los ataques de phishing, es parte de Advanced Threat Protection (ATP) de Microsoft.
A finales de octubre del año pasado, la protección ATP Safe Links se amplio para funcionar con direcciones web (URL) en correos electrónicos y URL en documentos Office 365 ProPlus, como Word, Excel, PowerPoint en Windows, iOS y dispositivos Android, y Visio archivos en Windows.
Los expertos en seguridad informática explican que esta característica de seguridad funciona al reemplazar las URL en un correo electrónico entrante con URL seguras propiedad de Microsoft.
En el momento cuando el usuario hace clic en un enlace de un correo electrónico entrante, redirecciona al usuario a un dominio operado por Microsoft para verificar la URL original. Si el escaneo detecta una actividad maliciosa, entonces advierte a los usuarios; de lo contrario, el usuario será redirigido al enlace original.
BaseStriker aprovecha la etiqueta URL <base> en el encabezado de un correo electrónico HTML para dividir y disfrazar un enlace malicioso, comentan expertos en seguridad informática.
“BaseStriker se refiere al método que se utiliza para aprovechar esta vulnerabilidad: dividir y disfrazar un enlace malicioso usando una etiqueta llamada <base> etiqueta URL” dice el análisis publicado por Avanan.
“Este ataque envía un enlace malicioso, que por lo general sería bloqueado por Microsoft.
En las pruebas de la técnica baseStriker mostraron que los usuarios de Office 365 son vulnerables.
“Se ha probado la vulnerabilidad en varias configuraciones, la prueba arrojo que cualquiera que use Office 365 en cualquier configuración es vulnerable. Gmail, no tiene este problema. Si se está protegiendo Office 365 con Mimecast, está seguro. Pero Proofpoint también es vulnerable”, dice la publicación.
Profesionales en seguridad informática comentaron que los actores maliciosos ya están utilizando baseStriker para llevar a cabo campañas de phishing, también advierten que la técnica puede ser explotada para distribuir malware.
Avanan informó sobre baseStriker a Microsoft y Proofpoint el pasado fin de semana, pero aun no hay parche disponible.
“Debido a que la vulnerabilidad ya es conocida, un paso inmediato sería notificar a los usuarios y reforzar el riesgo de ataques de phishing”.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
