Pour gérer vos consentements :
Categories: Sécurité

Phishing : les défenses d’Office 365 encore mises à mal

Avanan n’en a pas fini avec Office.

L’éditeur américain spécialisé dans la sécurisation des applications cloud avait déjà pointé plusieurs failles qui permettaient de contourner les systèmes de détection de liens malveillants sur la suite bureautique.

La liste s’est allongée cette semaine avec une vulnérabilité corrigée deux mois après son signalement à Microsoft.

L’attaque qui exploite cette vulnérabilité consiste à insérer, dans l’adresse URL, des antiliants sans chasse (&#8204 en Unicode).

Ces derniers sont, en temps normal, utilisés pour indiquer que la ligature ne doit pas être faite entre deux caractères.

Dans le cas présent, ils trompent Office 365, qui ne reconnaît plus les URL comme telles. Et qui, ainsi, ne procède ni à leur contrôle, ni à leur conversion en « liens fiables » pouvant être analysés juste avant l’ouverture.

L’utilisateur, lui, voit le lien comme si de rien n’était.

Ce problème d’offuscation de noms de domaines se présente avec d’autres caractères Unicode. Notamment l’espace sans chasse (&#8203), utilisé pour indiquer à quel entre des mots peuvent être séparés – typiquement, dans les langues qui n’utilisent pas d’espaces.

Parmi les autres failles précédemment signalées par Avanan (systématiquement après leur correction par Microsoft), on relèvera la dénommée baseStriker.

L’idée est d’exploiter l’élément HTML <base>, destiné à recomposer toutes les URL relatives contenues dans un document. L’adresse malveillante peut, par ce biais, être divisée en deux… et passer sous les radars d’Office, qui ne scanne pas la balise <href>.

Dans un autre registre, ZeroFont consiste à insérer, dans les e-mails, des caractères en taille 0.

Objectif : masquer les mots susceptibles d’activer le moteur de reconnaissance du langage naturel destiné à détecter les tentatives de fraude ou d’usurpation d’identité.

Ce que voit l’utilisateur…

a

… et ce que voit l’IA.

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago