邮箱网讯 6月24日消息 研究人员近日证实,Microsoft Outlook 等客户端向电子邮件收件人显示的 " 外部发件人 " 警告可能被发件人隐藏。
事实证明,攻击者只需更改几行 HTML 和 CSS 代码,即可更改 " 外部发件人 " 警告,或将其从电子邮件中完全删除。
这是有问题的,因为网络钓鱼攻击者和诈骗犯可以简单地在他们发送的电子邮件中包含一些 HTML 和 CSS 代码,以篡改警告消息的措辞或使其完全消失。
发件人可以轻松隐藏 " 外部发件人 " 警告
电子邮件安全产品(例如企业电子邮件网关)通常配置为在电子邮件从组织外部到达时向收件人显示 " 外部发件人 " 警告。
IT 管理员强制显示此类警告,以保护用户免受来自不可靠来源的网络钓鱼和欺诈电子邮件的攻击。
但是,本周的研究人员展示了一种相当简单的方法,电子邮件发件人可以使用这种方法来规避电子邮件安全产品所应用的这种保护。
仅通过添加几行 HTML 和 CSS 代码,研究人员 Louis Dion-Marcil 就展示了外部发件人如何隐藏电子邮件中的警告。
隐藏电子邮件中的 " 外部发件人 " 警告
这是因为电子邮件安全产品和网关拦截和扫描进入的电子邮件的可疑内容,只是简单地将 " 外部发件人 " 警告作为 HTML/CSS 代码片段注入电子邮件正文本身,而不是本机电子邮件客户端显示消息的 UI。
这样,包含 CSS 指令以覆盖警告片段的 CSS 代码(显示规则)的由攻击者制作的电子邮件可以使警告完全消失:
电子邮件中注入的 CSS 代码隐藏了 " 外部发件人 " 警告
另一名研究人员表示,过去也注意到了这种行为,他暗示攻击者也可以利用这个漏洞来改变警告消息:
用户甚至可以伪造 HTML 和 CSS 而不是隐藏它们,这意味着内容已被扫描并认为是安全的。研究人员说,这本身并不是任何电子邮件客户端应用程序中的错误,并且与客户端无关。
研究人员表示,这实际上不是一个真正的客户端漏洞,因此它与客户端无关。与 Outlook 无关。我只是偶然在 Outlook 中拍摄了一个屏幕截图,但是在 Gmail,Thunderbird 等中都可以使用。
这就是 HTML 电子邮件的限制。如果将警告添加到 HTML 正文中,并且攻击者显然控制了 HTML 正文,则他们可以添加 CSS 规则来隐藏这些元素。
Dion-Marcil 在接受电子邮件采访时对 BleepingComputer 表示:
该漏洞是不可能修复的,除了改用非 html 的警告标签。
Microsoft Exchange 本机 " 外部 " 电子邮件标签:一个潜在的解决方案
根据 BleepingComputer 的报道,上个月,Microsoft Exchange 宣布增加了即将推出的 " 外部 " 电子邮件标签功能。
如果 IT 管理员在其组织的 Exchange 服务器上启用此功能,则从外部来源收到的电子邮件在由 Microsoft Outlook 等本机客户端解析时,将带有显示在本机电子邮件客户端应用程序 UI 中的 " 外部 " 标签,而不是电子邮件正文。
例如,Microsoft 共享的屏幕快照显示了在 Microsoft Outlook 和 Outlook 移动应用程序中收到的外部电子邮件,这些电子邮件在本机电子邮件客户端的 UI 中显示了 " 外部 " 标签:
Web 上的 Outlook 中的外部标签
Outlook for iOS 中的外部标签
但是,一旦 " 外部 " 电子邮件标签功能推广到不同的 Office 365 环境,它将在默认情况下被禁用。
因此,对启用此功能感兴趣的 IT 管理员将需要使用 Get-ExternalInOutlook 和 Set-ExternalInOutlook PowerShell cmdlet 在支持的 Outlook 版本中查看和修改外部发件人标识配置。
微软说:
如果启用 cmdlet,则在 24-48 小时内,你的用户将开始在从外部来源(组织外部)收到的电子邮件中看到警告标签。
在 Outlook Mobile 中,通过点击邮件顶部的 " 外部 " 标签,用户将看到发件人的电子邮件地址。
不管电子邮件中是否包含 " 外部发件人 " 警告,或者相反,都声称自己是 " 安全 " 的,用户在打开接收到的电子邮件中的任何链接或附件之前应格外小心。
文章来源:嘶吼RoarTalk