[ad_1]

چهره های سایه ای زیر لوگوی مایکروسافت روی دیوار چوبی مصنوعی ایستاده اند.

در صورت دریافت ایمیلی از طرف someone@arstechnіca.comآیا واقعاً از هر Ars است؟ قطعاً نه – دامنه این آدرس ایمیل یکسان نیست arstechnica.com که می دانید علامت “و” در آنجا از الفبای سیریلیک است ، نه الفبای لاتین.

این نیز مشکل جدیدی نیست. تا چند سال پیش (اما دیگر نه) ، مرورگرهای مدرن هیچ تفاوتی با وارد کردن دامنه های حاوی مجموعه کاراکترهای ترکیبی به نوار آدرس نداشتند.

به نظر می رسد که Microsoft Outlook نیز از این قاعده مستثنی نیست ، اما مشکل بدتر شد: ایمیل های یک دامنه مشابه در Outlook کارت تماس را به یک شخص واقعی نشان می دهد که در واقع در دامنه قانونی ثبت شده است ، نه آدرس نمای.

Outlook اطلاعات تماس واقعی برای دامنه های جعلی IDN را نمایش می دهد

این هفته infosex حرفه ای و pentester DobbyWanKenobi نشان داد که چگونه آنها قادر به کلاهبرداری از م Bookلفه دفتر آدرس مایکروسافت برای نشان دادن اطلاعات تماس یک شخص واقعی برای آدرس ایمیل فرستنده متقلب با استفاده از شماره های شناسه بوده اند. نام های بین المللی بین المللی (IDNs) دامنه هایی هستند که از مجموعه ای ترکیبی از کاراکترهای یونیکد مانند حروف لاتین و سیریلیک تشکیل شده اند که می توانند یک دامنه را شبیه به یک دامنه ASCII معمولی نشان دهند.

مفهوم IDN در سال 1996 برای گسترش فضای نام دامنه به زبان های غیر لاتین و رفع ابهام فوق الذکر از شخصیت های مختلف که به نظر می رسد یکسان (“هموگلیف”) برای انسان است ، پیشنهاد شد. IDN ها را نیز می توان به راحتی صرفاً در قالب ASCII نشان دادنسخه “punycode” دامنه ، که جایی برای ابهام بین دو دامنه مشابه باقی نمی گذارد.

به عنوان مثال ، کپی “arstechnіca.com” مشابه در نوار آدرس آخرین مرورگر Chrome ، آن را فوراً به ارائه کد کد شده برای جلوگیری از ابهام تبدیل می کند: xn--arstechnca-42i.com. وقتی واقعی باشد این اتفاق نمی افتد arstechnica.comدر ASCII و بدون خط سیریلیک “و” ، در نوار آدرس وارد می شود. چنین تمایز آشکاری برای محافظت از کاربران نهایی که ممکن است ناخواسته با سایت های تقلبی که به عنوان بخشی از کمپین های فیشینگ مورد استفاده قرار می گیرند ، مواجه شوند ، ضروری است.

اما اخیراً ، DobbyWanKenobi دریافت که این امر در Microsoft Outlook برای Windows کاملاً واضح نیست. و عملکرد دفترچه آدرس هنگامی که اطلاعات تماس شخص را نشان می دهد ، تفاوتی نخواهد کرد.

“من اخیراً یک آسیب پذیری را کشف کردم که بر بخشی از دفترچه آدرس Microsoft Office برای Windows تأثیر می گذارد و می تواند به هر کسی در اینترنت اجازه دهد اطلاعات تماس کارکنان یک سازمان را با استفاده از نام دامنه بین المللی مشابه (IDN) کلاهبرداری کند.” پست وبلاگ.

این بدان معنی است که حوزه شرکت “یک شرکت” است[.]com ”، مهاجمی که IDN را به عنوان ѕcompanyy ثبت کرده است[.]com ‘(xn-omecompany-l2i[.]com) می تواند از این خطا استفاده کرده و با استفاده از Microsoft Outlook برای ویندوز ایمیل های فیشینگ قانع کننده ای به کارکنان “somecompany.com” ارسال کند. “

به طور تصادفی ، روز بعد گزارش دیگری در این مورد از سوی مایک مانزوتی ، مشاور ارشد دیونیوس ارائه شد. برای ارتباطی که در دامنه “onmìcrosoft.com” Manzotti ایجاد شده است (نگاه کنید به من) ، Outlook اطلاعات تماس معتبری را برای شخصی که آدرس ایمیل او شامل دامنه واقعی “onmicrosoft.com” است نمایش می دهد.

“به عبارت دیگر ، ایمیل فیشینگ کاربر NestorW @ …. onm را هدف گرفته استمنبا این حال ، داده های معتبر Active Directory crosoft.com و تصویر NestorW @ …. onmicrosoft.com به نظر می رسد که ایمیل از یک منبع معتبر آمده است. “Manzotti می گوید.

Manzotti علت مشکل را اعتبارسنجی نادرست آدرس های ایمیل Outlook در سرصفحه های MFE دانست.

Manzotti توضیح می دهد: “هنگام ارسال ایمیل HTML ، می توانید نامه SMTP” از آدرس و Mime “از” آدرس “را مشخص کنید.

“این به این دلیل است که سرصفحه های MIME در پروتکل SMTP گنجانده شده است. MIME برای گسترش پیام های متنی ساده مانند ارسال ایمیل های HTML استفاده می شود.”

اما به گفته Manzotti ، Microsoft Outlook برای Office 365 به درستی دامنه Punycode را بررسی نمی کند ، که به مهاجمان اجازه می دهد در ارتباط با مخاطبین معتبر در سازمان مورد نظر ، جعل هویت کنند.

فیشینگ IDN: یک مشکل قدیمی دوباره ظاهر شده است

مشکل وب سایت های فیشینگ مبتنی بر IDN توجه ما را در سال 2017 جلب کرد ، زمانی که توسعه دهنده برنامه های وب Xudong Zheng نشان داد چگونه مرورگرهای مدرن در آن زمان نتوانستند تفاوت خود را با یکدیگر متمایز کنند. apple.com یک سایت مشابه (IDN) از apple.com واقعی.

ژنگ نگران بود که IDN توسط مهاجمان برای اهداف مخرب مختلف مانند فیشینگ مورد سوء استفاده قرار گیرد:

از نظر امنیتی ، دامنه های یونیکد می توانند مشکل ساز باشند ، زیرا تشخیص بسیاری از کاراکترهای یونیکد از کاراکترهای معمولی ASCII دشوار است. امکان ثبت دامنه هایی مانند “xn--pple-43d.com” که معادل “apple.com” است وجود دارد. ممکن است در نگاه اول واضح نباشد ، اما “apple.com” از حروف سیریلیک “a” (U + 0430) استفاده می کند و از ASCII “a” (U + 0061) استفاده نمی کند. این به عنوان یک حمله هموگرافی شناخته می شود.

اما مشکل Outlook این است که برای ایمیل فیشینگ ارسال شده توسط IDN ، گیرنده نه تنها نمی تواند بین آدرس ایمیل جعلی و آدرس واقعی تمایز قائل شود ، بلکه کارت تماس یک مخاطب مشروع را نیز مشاهده کرده و قربانی حمله می شود. به

هنوز مشخص نیست که آیا مایکروسافت حاضر است این مشکل را در Outlook حل کند یا خیر:

یکی از کارکنان مایکروسافت گفت: “ما بررسی پرونده شما را به پایان رساندیم ، اما در این مورد تصمیم گرفته شد که این آسیب پذیری را در نسخه فعلی رفع نکنیم.” DobbyWanKenobi در ایمیل

“اگرچه ممکن است تقلبی رخ دهد ، اما بدون امضای دیجیتالی نمی توان به هویت فرستنده اعتماد کرد. تغییرات لازم به احتمال زیاد باعث ایجاد کاذب مثبت و مشکلات از راه های دیگر می شود.”

مایکروسافت به درخواست Ars برای ارسال نظر از قبل پاسخ نداد.

محققان دریافتند که این آسیب پذیری هر دو نسخه 32 و 64 بیتی آخرین نسخه های Microsoft Outlook را برای Microsoft 365 تحت تاثیر قرار داده است ، اگرچه پس از اطلاع Manzotti به مایکروسافت ، دیگر به نظر نمی رسد که این مشکل در نسخه 16.0.14228.20216 بازسازی شود.

به طرز عجیبی ، پاسخ مایکروسافت به منزوتی معتقد است که این آسیب پذیری برطرف نمی شود. علاوه بر این ، Manzotti خاطرنشان می کند که این نوع حملات فیشینگ در Outlook Web Access (OWA) شکست می خورد.

استفاده از ویژگی های امنیتی ، مانند هشدارهای ایمیل “فرستنده خارجی” و امضای ایمیل ، چند قدم است که سازمان ها می توانند برای جلوگیری از حملات متقلبانه انجام دهند.



[ad_2]

منبع: tarjome-news.ir