KW1: CSOC-Event der Woche – Zero-Width Space Phishing Attack
Durchschnittliche CSOC-Gesamtevents pro Tag: 29.735
Detektionshäufigkeit: 15
Eventbeschreibung: Zero-Width Space Phishing Attack / Kritikalität = hoch (7 / 10)
Das Event dieser Woche tritt auf, sobald eine Maßnahme zur Umgehung von Office 365 Sicherheitsfeatures detektiert wird.
Um Usern von Office 365 Schutz vor Phishing-Links zu bieten, verwendet Microsoft eine Technik, welche Links in eingehenden E-Mails zunächst prüft, bevor der User zum Ziel weitergeleitet wird. Hierbei wird ein erkannter Link durch eine Microsoft-eigene „secure URL“ ausgetauscht. Aktiviert der Empfänger diesen Link, durchläuft die Zieladresse zunächst eine Prüfung durch Microsofts Sicherheitsscanner, um das Ziel auf verdächtige Inhalte zu überprüfen.
Handelt es sich um bösartige Inhalte wird der Empfänger gewarnt. Weist der Sicherheitsscan hingegen keine Treffer auf, wird der Empfänger zum jeweiligen Ziel weitergeleitet.
Cyberkriminelle haben nun eine Technik entdeckt, die es ermöglicht, diesen Sicherheitsmechanismus von Microsofts Office 365 zu umgehen. Hierfür wird ein sogenannter ZWSP, ein Zero-Width Space, genutzt. Der Zero-Width Space stellt im HTML-Code eine nicht sichtbare Leerstelle dar. Der Angreifer bearbeitet den bösartigen Link wie folgt:
Statt „http://ichbineinvirus.de“ lautet der bearbeitete Link im HTML-Code der E-Mail „http://ichbineinvirus.‌de“ wobei „‌“ in HTML den ZWSP darstellt.
Microsofts Methode zur Erkennung von Weblinks wird durch das Einfügen der scheinbaren Leerstelle ausgehebelt. Die verwendeten Algorithmen sind durch die Leerstelle nicht in der Lage, die Syntax eines Links zu erkennen und werden somit nicht aktiviert.
Moderne Webbrowser jedoch erkennen den Link und verarbeiten diesen korrekt, was dem User in den meisten Fällen zum Verhängnis wird.
Technische Beschreibung Zero-Width Space Phishing Attack
The issue, cloud security firm Avanan says, resided in the use of zero-width spaces (ZWSPs) in the middle of malicious URLs within the RAW HTML of the emails. This method breaks the URLs, thus preventing Microsoft’s systems from recognizing them and also preventing Safe Links from successfully protecting users.