Descubierto la semana pasada, el 1 de mayo de 2018, por investigadores de seguridad de Avanan, baseStriker es una falla en la forma en que los servidores de Office 365 analizan los correos electrónicos entrantes.

baseStriker

La etiqueta HTML en el centro de baseStriker

En el centro de esta vulnerabilidad está la etiqueta HTML <base> . Esta es una pestaña rara vez utilizada, pero los desarrolladores la declaran en la sección <head> de un documento HTML (página web) y su objetivo es establecer una URL base para los enlaces relativos.

Por ejemplo, un sitio web podría declarar una URL base como esta:

< base href = "https://www.example.com" / >

Una vez que se han declarado, los desarrolladores pueden incluir enlaces al contenido alojado en la URL base sin escribir todo, así:

< img src = "/images/slider/photo-1.png" / >

Debajo del capó, el motor de representación de HTML (generalmente un navegador) combinará la URL base con la ruta relativa y vendrá con:

https://www.example.com/images/slider/photo-1.png

Office 365 no admite la etiqueta HTML «base»

El problema, según Avanan, es que los sistemas de seguridad de Office 365 no parecen ser compatibles con las URL base.

Un atacante puede simplemente enviar un correo electrónico con formato de texto enriquecido con la siguiente estructura y Office 365 no podrá analizar y detectar ningún malware alojado en las URL.

código de ataque de baseStriker

Outlook mostrará el enlace correctamente, lo que significa que el usuario podrá hacer clic en él y acceder a la página deseada.

Sin embargo, los sistemas de seguridad de Office365 como Advanced Threat Protection (ATP) y Safelinks no combinan la URL base y la ruta relativa juntas antes de que escaneen el enlace, ocupando cada parte por separado.

Avanan dice que probó varios servicios de correo electrónico, pero descubrió que solo Office 365 es vulnerable a los ataques de baseStriker.

Estoy usando:  ¿Soy vulnerable a baseStriker?
Oficina 365  Sí, eres vulnerable
Office 365 con ATP y Safelinks      Sí, eres vulnerable
Office 365 con Proofpoint MTA  Sí, eres vulnerable
Office 365 con MTAcast de Mimecast  No, estás a salvo
Gmail  No, estás a salvo
Gmail con Proofpoint MTA  Todavía estamos en pruebas y se actualizará pronto  
Gmail con MTAcast de Mimecast  No, estás a salvo
Otras configuraciones no aquí?  Contáctanos si quieres que te ayudemos a probarlo  

BaseStriker utilizado en la naturaleza

Pero baseStriker no es solo una vulnerabilidad aleatoria que los investigadores encontraron después de semanas de pruebas con pluma. Avanan dice que descubrió baseStriker como parte de los ataques del mundo real.

«Hasta ahora, solo hemos visto a los piratas informáticos usar esta vulnerabilidad para enviar ataques de phishing, pero también es capaz de distribuir ransomware, malware y otros contenidos maliciosos», escribió Yoav Nathaniel de Avanan en un informe publicado hoy.

Nathaniel dice que Avanan contactó y advirtió a Microsoft sobre sus hallazgos, pero la compañía no proporcionó comentarios sobre cuándo solucionaría el problema. Microsoft tiene programado hoy lanzar las actualizaciones de seguridad de Patch Tuesday para el mes de mayo de 2018, aunque no está claro si la compañía tuvo tiempo suficiente para dirigirse a baseStriker.

Compartir