Уязвимость в Office 365 позволяет легитимизировать поддельные письма

Уязвимость в Office 365 позволяет легитимизировать поддельные письма

Уязвимость в Office 365 позволяет легитимизировать поддельные письма

Ошибка в Office 365 может позволить злоумышленникам рассылать вредоносные электронные письма, отправленные якобы с легитимного адреса microsoft.com. Проблема была обнаружена исследователем из Турции Утку Сен (Utku Sen), известным тем, что он выпустил вымогателя с открытым исходным кодом исключительно в исследовательских целях.

Сен нашел проблему во время тестирования спам-фильтров почтовых сервисов, таких как Outlook 365, Gmail и Yandex. Исследования проводились при помощи инструмента Social Engineering Email Sender (SEES), эксперт обратил внимание, что Yandex пометил некоторые фишинговые письма зеленым значком, подтверждая тем самым их подлинность.

Оказалось, что проблема заключается в том, как Outlook 365 отправлял письма в Yandex, все они пришли от поддельного домена microsoft.com. Дальнейший анализ показал, что и Gmail также принял фишинговые письма за легитимные.

Интересно отметить, что данный метод сработал только с письмами, отправленными якобы от microsoft.com. Когда эксперт попытался использовать другие домены, письма сразу попали в папку для спама.

Сену не удалось самому выяснить причину, однако пользователь Reddit под ником ptmb предположил, что проблема кроется в том, что Outlook подписывал отправленные письма своим DKIM-ключом.

«Это означает, что сообщения, пересылаемые через Outlook автоматически подписываются DKIM-подписью от Microsoft и выглядят так, будто были отправлены с домена microsoft.com» - объясняет ptmb.

Android взламывали через Firefox и старый баг в ядре Linux

Компания Nebula показала эксплуатацию опасной цепочки уязвимостей для Android: устройство можно скомпрометировать на уровне root после одного перехода по вредоносной ссылке. Эксплойт объединяет две проблемы: уязвимость в Firefox 151.0.2 и более ранних версиях браузера, а также старый баг в ядре Linux, который, по данным исследователей, оставался там около 15 лет.

Вместе они позволяют обойти стандартные защитные механизмы Android и получить полный контроль над устройством.

Атака проходит в несколько этапов. Сначала вредоносная веб-страница использует уязвимость в Firefox, чтобы выполнить код или выбраться из песочницы приложения.

Затем в дело вступает баг в ядре Linux: он даёт возможность читать и записывать память ядра, отключить SELinux и повысить привилегии. После этого злоумышленник может установить в систему бинарник su и закрепить root-доступ.

В демонстрации весь процесс занимает считанные секунды. После успешной атаки на устройстве появляется кастомные «живые» обои от исследователей, а рут-шелл становится доступен через Android Debug Bridge. В Nebula также опубликовали PoC-репозиторий CyberMeowfia с логикой адаптации под конкретное железо. По их данным, цепочка работает на устройствах Google Pixel.

Полные технические детали пока не раскрываются: компания уведомила затронутых вендоров и дала им время на исправления. Но опубликованный PoC уже создаёт почву для обратного анализа, так что со временем подробности, скорее всего, всплывут.

Ирония в том, что часть Android-сообщества ждёт раскрытия не только из соображений безопасности, но и как удобный способ рутовать собственные устройства. Для исследователей это баг, для злоумышленников — оружие, а для энтузиастов — потенциальная кнопка «сделать рут».

RSS: Новости на портале Anti-Malware.ru