Categories: Sécurité

Phishing : les défenses d’Office 365 encore mises à mal

Avanan n’en a pas fini avec Office.

L’éditeur américain spécialisé dans la sécurisation des applications cloud avait déjà pointé plusieurs failles qui permettaient de contourner les systèmes de détection de liens malveillants sur la suite bureautique.

La liste s’est allongée cette semaine avec une vulnérabilité corrigée deux mois après son signalement à Microsoft.

L’attaque qui exploite cette vulnérabilité consiste à insérer, dans l’adresse URL, des antiliants sans chasse (&#8204 en Unicode).

url-sans

url-avec

Ces derniers sont, en temps normal, utilisés pour indiquer que la ligature ne doit pas être faite entre deux caractères.

Dans le cas présent, ils trompent Office 365, qui ne reconnaît plus les URL comme telles. Et qui, ainsi, ne procède ni à leur contrôle, ni à leur conversion en « liens fiables » pouvant être analysés juste avant l’ouverture.

L’utilisateur, lui, voit le lien comme si de rien n’était.

Ce problème d’offuscation de noms de domaines se présente avec d’autres caractères Unicode. Notamment l’espace sans chasse (&#8203), utilisé pour indiquer à quel entre des mots peuvent être séparés – typiquement, dans les langues qui n’utilisent pas d’espaces.

Parmi les autres failles précédemment signalées par Avanan (systématiquement après leur correction par Microsoft), on relèvera la dénommée baseStriker.

L’idée est d’exploiter l’élément HTML <base>, destiné à recomposer toutes les URL relatives contenues dans un document. L’adresse malveillante peut, par ce biais, être divisée en deux… et passer sous les radars d’Office, qui ne scanne pas la balise <href>.

Dans un autre registre, ZeroFont consiste à insérer, dans les e-mails, des caractères en taille 0.

Objectif : masquer les mots susceptibles d’activer le moteur de reconnaissance du langage naturel destiné à détecter les tentatives de fraude ou d’usurpation d’identité.

Ce que voit l’utilisateur…

a

… et ce que voit l’IA.

Recent Posts

PC Copilot+ : avec Arm ou x86 ?

Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…

1 semaine ago

Copilot+ : une sélection de PC convertibles

Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…

3 semaines ago

Avec Gemini intégré à Google Workspace, les prix s’envolent

Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…

3 semaines ago

PC Copilot+ : c’est parti pour la transformation du parc

Au CES 2025, les principaux constructeurs ont annoncé l'arrivée des ordinateurs de bureau dotés de…

1 mois ago

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 mois ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

2 mois ago