Из-за бага Outlook уязвим для простейших фишинговых атак

8 сентября 2021 года

Исследователи в области безопасности обнаружили баг в почтовом клиенте Microsoft Outlook, с помощью которого можно обмануть пользователя и выдать поддельное письмо за сообщение от настоящего контакта.

Речь идет об омографических атаках, в которых киберпреступники используют фишинговые домены с нестандартными символами Юникода (Unicode), очень похожими на латиницу. Более десяти лет назад организация ICANN разрешила регистрацию интернационализированных доменных имен (IDN), что позволило адаптировать домены под различные языки и алфавиты с помощью символов Юникода. Но проблема в том, что многие из этих символов очень похожи на буквы латинского алфавита, чем и пользуются мошенники для создания поддельных сайтов с названиями, визуально похожими на настоящие.

Как выяснилось, письма, отправленные с похожих на легитимные домены, в Outlook будут отображать контактную карту реального человека, зарегистрированного на официальном домене. Проблема кроется в функции Address Book, которая не делает различий при отображении контактной информации.

«Уязвимость в компоненте Address Book в Microsoft Office для Windows, позволяет любому подменить контактную информацию сотрудников организации, используя внешний похожий IDN-домен. То есть, если доменом компании является 'somecompany[.]com', атакующий, который зарегистрировал IDN, например, 'ѕomecompany[.]com' (xn--omecompany-l2i[.]com) может воспользоваться багом и отправить убедительные фишинговые письма сотрудникам компании 'somecompany.com', использующей Microsoft Outlook для Windows», - пояснил(а) ИБ-эксперт с псевдонимом DobbyWanKenobi в техническом анализе.

Об этом же баге сообщил и исследователь Майк Манзотти (Mike Manzotti). Он выяснил, что Outlook для Office 365 некорректно проверяет доменные имена в Punycode, что позволяет злоумышленнику выдать себя за любой действительный контакт в целевой организации.

Microsoft признала наличие бага, но отказалась его исправлять. Тем не менее, компания все же исправила уязвимость в версии Outlook 16.0.14228.20216. По словам Манзотти, в случае Outlook Web Access (OWA) подобная атака не работает.