Манипуляции с CSS в HTML-письмах обходят защиту в Outlook
Уязвимость связана с функцией «First Contact Safety Tip», предназначенной для предупреждения пользователей Outlook при получении писем от незнакомых отправителей.
Обход механизма безопасности
Эксперты из Certitude, обнаружившие эту уязвимость, сообщили о своей находке компании Microsoft, однако пока никаких мер по её устранению принято не было.
Функция «First Contact Safety Tip» служит для оповещения пользователей Outlook, когда они получают письма от новых контактов. В таких случаях появляется сообщение: «Вы не часто получаете письма от xyz@example.com. Узнайте, почему это важно».
Скрытие предупреждения
Особенностью этой функции является то, что предупреждение вставляется в основной текст HTML-письма, что открывает возможность для манипуляций с использованием встроенного CSS-кода.
Certitude обнаружила, что можно сделать это предупреждение невидимым для получателя письма путём изменения CSS-кода, как показано ниже:
Эти манипуляции делают предупреждение о безопасности незаметным для пользователя.
Кроме того, Certitude нашла способ вставить HTML-код, который имитирует иконки, добавляемые Outlook к зашифрованным или подписанным письмам, чтобы они выглядели более безопасными.
Ответ Microsoft
Certitude представила Microsoft доказательство концепции этих техник и подробный отчет через портал Microsoft Researcher Portal (MSRC). В ответ Microsoft заявила:
Мы подтверждаем, что ваше обнаружение действительно, однако оно не соответствует нашим критериям для немедленного устранения, учитывая, что данная уязвимость в основном применяется в фишинговых атаках. Тем не менее, ваше обнаружение будет учтено для возможного улучшения наших продуктов в будущем.
На момент публикации Microsoft не предоставила дополнительных комментариев по поводу отказа от немедленного устранения риска.
Популярные статьи
Получить консультацию сервисного центра Volt-PC
Для того, чтобы консультацию в сервисном центре «Volt-PC» нужно позвонить по номеру телефона:
+7 (961) 51-00-228 или связавшись с нами через WhatsApp или Telegram.
Сервисный центр «Volt-PC» работает с 9.00 и до 21.00 без перерывов и выходных!
Мы старается заботится о своих клиентах и обеспечивать только качественный сервис.
Заказывая у нас услуги обслуживания и ремонта компьютерной техники в Краснодаре Вы можете быть абсолютно уверены, что получите не только качественное оказание услуг, но и грамотную консультацию и техническую поддержку.