{"id":205766,"date":"2018-06-20T02:31:25","date_gmt":"2018-06-20T00:31:25","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=205766"},"modified":"2018-06-20T18:06:03","modified_gmt":"2018-06-20T16:06:03","slug":"office-365-zero-font-bypassing-hebelt-e-mail-sicherheit-aus","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/06\/20\/office-365-zero-font-bypassing-hebelt-e-mail-sicherheit-aus\/","title":{"rendered":"Office 365: Zero-Font-Bypassing hebelt E-Mail-Sicherheit aus"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>[<a href=\"https:\/\/borncity.com\/win\/2018\/06\/20\/office-365-zero-font-bypassing-leverages-out-email-security\/\" target=\"_blank\">English<\/a>]Cyber-Kriminelle benutzen derzeit einen l\u00e4nger bekannten Zero-Font-Bypassing-Trick, um bei E-Mails die Microsoft Sicherheitsfilter von Office 365 auszutricksen und Spam auf die System zu schleusen. <\/p>\n<p><!--more--><\/p>\n<h2>Der ZeroFont-Bypassing-Trick <\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/e0b2e4c1eba846c5b558ca0db0b762ec\" width=\"1\" height=\"1\"\/>Der Ansatz ist eigentlich seit Jahrzehnten bekannt. Die ZeroFont-Technik beruht auf der Einf\u00fcgung von Zeichen mit der L\u00e4nge Null in normalen Text. W\u00e4hrend diese 'Null Pixel breiten Zeichen' f\u00fcr den menschlichen Leser unsichtbar sind, kann Software nat\u00fcrlich den Gesamttext, einschlie\u00dflich der Zeichen mit der Breite Null lesen und parsen. Hier ist ein entsprechender HTML-Tag mit dem entsprechenden <em>style<\/em>-Attribut.&nbsp; <\/p>\n<pre><code>&lt; span style=\"FONT-SIZE: 0px\" &gt;This is how you hide text with the ZeroFont technique &lt; \/span &gt;<\/code><\/pre>\n<p>Der Trick beruht nun darin, das E-Mail-Sicherheitssystem \u00fcber einen pr\u00e4parierten Text dazu zu bringen, dass es die Nachricht als riesigen Textblock behandelt, der keine Gefahren aufweist. Gleichzeitig gilt es, dem menschlichen Empf\u00e4nger der Phishing-E-Mail den gew\u00fcnschten Inhalt mit dem K\u00f6der zum Aufrufen der Phishing-Seiten anzuzeigen.<\/p>\n<p>Eigentlich gibt es dazu keine Chance, da die ZeroFont-Technik seit Jahren bekannt ist und eigentlich jedes vern\u00fcnftige E-Mail-Programm entsprechende Schutzmechanismen zur Erkennung dieser Versuche aufweist. Solche E-Mails werden dann als verd\u00e4chtig markiert, sobald sie Text mit Nullbreite enthalten.<\/p>\n<h2>Office 365 patzt bei der Erkennung<\/h2>\n<p>Dank dem Umstand, dass auch Microsoft Office 365 inzwischen 'as a service' mit st\u00e4ndigen 'Verbesserungen' ausgeliefert wird, kann man gelegentlich solches alte Wissen als obsolet \u00fcber Bord werfen. Nur so ist zu erkl\u00e4ren, was die Sicherheitsforscher von Avanan, ein auf Cloud-Sicherheit spezialisiertes Unternehmen, <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/zerofont-technique-lets-phishing-emails-bypass-office-365-security-filters\/\" target=\"_blank\">herausgefunden<\/a> haben. <\/p>\n<p>Laut den Sicherheitsforschern kennzeichnet Office 3645 E-Mails mit ZeroFont-Technik nicht mehr als b\u00f6sartig. Der Grund f\u00fcr diesen Patzer ist haupts\u00e4chlich Microsofts Vertrauen bzw. Glaube in die nat\u00fcrliche Sprachverarbeitung. Die E-Mails werden nach diesem Ansatz gescannt, um festzustellen, ob der Inhalt einer Nachricht textbasierte Indikatoren enth\u00e4lt, die h\u00e4ufig in Phishing- oder Betrugs-E-Mails zu finden sind. Das k\u00f6nnten z. B. Zahlungsaufforderungen, verschiedene Schl\u00fcsselw\u00f6rter und mehr sein. <\/p>\n<p>Durch die ZeroFont-Technik kann man aber genau diese nat\u00fcrliche Sprachverarbeitung austricksen. Dies geschieht durch das Einf\u00fcgen gro\u00dfer Mengen von verstecktem Text ohne Breite in den Textk\u00f6rper einer E-Mail. Dadurch verstecken die Betr\u00fcger diese Indikatoren f\u00fcr Phishing-Versuche vor den nat\u00fcrlichen Sprachverarbeitungsalgorithmen von Office 365. Dann kommt das 'vor lauter B\u00e4umen den Wald nicht mehr sehen'-Syndrom zum Tragen, so dass die Sprachauswertung durch die f\u00fcr das menschliche Auge unsichtbaren Texte in die Irre geleitet wird. Einen simplen Filter, der ZeroFont-Technik durch parsen der Text-Attribute erkennt und die E-Mail als unsicher erkennt, ist Microsoft zu trivial, den hat man rausgelassen. Technik ist schlie\u00dflich Trumpf. <\/p>\n<p>Laut den Sicherheitsforschern von Avanan wird die ZeroFont Technik inzwischen in der Praxis (in the wild) in Kombination mit anderen Tricks wie Verwendung von Punycode-URLs, Unicode-Zeichen oder Hexadezimal Escape Characters verwendet. Letzten Monat entdeckten die Avanan-Sicherheitsforscher auch, dass Office 365 keine Links zu Phishing-Sites entdeckte, die mit dem &lt; base &gt; HTML-Tag in zwei Teile geteilt wurden. <\/p>\n<p>Da k\u00f6nnen wir nur von Gl\u00fcck sagen, dass Office 365 als 'as a service' st\u00e4ndig mit neuen Funktionen ausgerollte wird und immer mal wieder Funktionen weg fallen. Das verwirrt die Betr\u00fcger auf lange Sicht so sehr, dass sie ganz meschugge werden und auf Grund der st\u00e4ndigen \u00c4nderungen in Office 365 k\u00fcnftig auf solche Angriffe verzichten. Und jetzt warte ich auf den Nikolaus, der mich morgen ganz sicher besucht.&nbsp; (via <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/zerofont-technique-lets-phishing-emails-bypass-office-365-security-filters\/\" target=\"_blank\">Bleeping Computer<\/a>)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Cyber-Kriminelle benutzen derzeit einen l\u00e4nger bekannten Zero-Font-Bypassing-Trick, um bei E-Mails die Microsoft Sicherheitsfilter von Office 365 auszutricksen und Spam auf die System zu schleusen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426],"tags":[823,215,4328],"class_list":["post-205766","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","tag-office-365","tag-outlook","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/205766","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=205766"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/205766\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=205766"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=205766"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=205766"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}