研究人員近日證實，Microsoft Outlook等客戶端向電子郵件收件人顯示的“外部發(fā)件人”警告可能被發(fā)件人隱藏。

事實證明，攻擊者只需更改幾行HTML和CSS代碼，即可更改“外部發(fā)件人”警告，或將其從電子郵件中完全刪除。

這是有問題的，因為網(wǎng)絡釣魚攻擊者和詐騙犯可以簡單地在他們發(fā)送的電子郵件中包含一些HTML和CSS代碼，以篡改警告消息的措辭或使其完全消失。

發(fā)件人可以輕松隱藏“外部發(fā)件人”警告

電子郵件安全產(chǎn)品（例如企業(yè)電子郵件網(wǎng)關）通常配置為在電子郵件從組織外部到達時向收件人顯示“外部發(fā)件人”警告。

IT管理員強制顯示此類警告，以保護用戶免受來自不可靠來源的網(wǎng)絡釣魚和欺詐電子郵件的攻擊。

但是，本周的研究人員展示了一種相當簡單的方法，電子郵件發(fā)件人可以使用這種方法來規(guī)避電子郵件安全產(chǎn)品所應用的這種保護。

僅通過添加幾行HTML和CSS代碼，研究人員Louis Dion-Marcil就展示了外部發(fā)件人如何隱藏電子郵件中的警告。

隱藏電子郵件中的“外部發(fā)件人”警告

這是因為電子郵件安全產(chǎn)品和網(wǎng)關攔截和掃描進入的電子郵件的可疑內容，只是簡單地將“外部發(fā)件人”警告作為HTML/CSS代碼片段注入電子郵件正文本身，而不是本機電子郵件客戶端顯示消息的UI。

這樣，包含CSS指令以覆蓋警告片段的CSS代碼（顯示規(guī)則）的由攻擊者制作的電子郵件可以使警告完全消失：

電子郵件中注入的CSS代碼隱藏了“外部發(fā)件人”警告

另一名研究人員表示，過去也注意到了這種行為，他暗示攻擊者也可以利用這個漏洞來改變警告消息：

用戶甚至可以偽造HTML和CSS而不是隱藏它們，這意味著內容已被掃描并認為是安全的。研究人員說，這本身并不是任何電子郵件客戶端應用程序中的錯誤，并且與客戶端無關。

研究人員表示，這實際上不是一個真正的客戶端漏洞，因此它與客戶端無關。與Outlook無關。我只是偶然在Outlook中拍攝了一個屏幕截圖，但是在Gmail，Thunderbird等中都可以使用。

這就是HTML電子郵件的限制。如果將警告添加到HTML正文中，并且攻擊者顯然控制了HTML正文，則他們可以添加CSS規(guī)則來隱藏這些元素。

Dion-Marcil在接受電子郵件采訪時對BleepingComputer表示：

該漏洞是不可能修復的，除了改用非html的警告標簽。

Microsoft Exchange本機“外部”電子郵件標簽：一個潛在的解決方案

根據(jù)BleepingComputer的報道，上個月，Microsoft Exchange宣布增加了即將推出的“外部”電子郵件標簽功能。

如果IT管理員在其組織的Exchange服務器上啟用此功能，則從外部來源收到的電子郵件在由Microsoft Outlook等本機客戶端解析時，將帶有顯示在本機電子郵件客戶端應用程序UI中的“外部”標簽，而不是電子郵件正文。

例如，Microsoft共享的屏幕快照顯示了在Microsoft Outlook和Outlook移動應用程序中收到的外部電子郵件，這些電子郵件在本機電子郵件客戶端的UI中顯示了“外部”標簽：

Web上的Outlook中的外部標簽

Outlook for iOS中的外部標簽

但是，一旦“外部”電子郵件標簽功能推廣到不同的Office 365環(huán)境，它將在默認情況下被禁用。

因此，對啟用此功能感興趣的IT管理員將需要使用Get-ExternalInOutlook和Set-ExternalInOutlook PowerShell cmdlet在支持的Outlook版本中查看和修改外部發(fā)件人標識配置。

微軟說：

如果啟用cmdlet，則在24-48小時內，你的用戶將開始在從外部來源（組織外部）收到的電子郵件中看到警告標簽。

在Outlook Mobile中，通過點擊郵件頂部的“外部”標簽，用戶將看到發(fā)件人的電子郵件地址。

不管電子郵件中是否包含“外部發(fā)件人”警告，或者相反，都聲稱自己是“安全”的，用戶在打開接收到的電子郵件中的任何鏈接或附件之前應格外小心。

【白嫖網(wǎng)絡安全學習資料】

總結

以上是生活随笔為你收集整理的攻击者怎样使用HTML和CSS隐藏“外部发件人”电子邮件警告的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。