La fonctionnalité de sécurité Safe Links d’Office 365 peut être contournée par une méthode de phishing

La société de sécurité cloud Avanan a révélé que des cybercriminels utilisent une nouvelle méthode pour contourner la fonctionnalité Safe Links d’Office 365.

Safe Links est conçu pour protéger les entreprises contre les liens malveillants provenant de courriels et de documents frauduleux, notamment en substituant les liens malveillants identifiés et en notifiant les utilisateurs à leur ouverture. Safe Links vérifie ainsi l'URL d'origine pour voir si elle a été mise sur liste noire (par Microsoft ou le client ATP) ou si elle pointe vers un programme malveillant.

Le contournement de cette fonctionnalité repose dans l’utilisation de la balise <base> dans l’entête HTML, ce qui permet de faire appel à des URL malveillantes dans la page en question sans en préciser le domaine, ce qui échappe au contrôle de vérification.

Cette méthode d'attaque a été baptisée « baseStriker » par la société Avanan et fonctionne contre les clients Outlook, en particulier l’application web et les applications mobile et PC.

Microsoft en a été notifié et a lancé une investigation sur les méthodes d'attaque utilisées.