微軟最近修復(fù)了Office 365的一個(gè)漏洞，黑客之前利用這個(gè)漏洞繞過(guò)釣魚(yú)保護(hù)，將惡意信息發(fā)送到受害者郵箱中。

據(jù)外媒報(bào)道，微軟最近修復(fù)了Office 365的一個(gè)漏洞，黑客之前利用這個(gè)漏洞繞過(guò)釣魚(yú)保護(hù)，將惡意信息發(fā)送到受害者郵箱中。該漏洞與電子郵件原始HTML中的惡意URL中使用的零寬度空格（ZWSP）有關(guān)。黑客通過(guò)分割URL的方法，使得防御系統(tǒng)不能檢測(cè)到惡意信息。

專(zhuān)家指出，使用這種技術(shù)可以繞過(guò)URL信譽(yù)檢查和安全鏈接保護(hù)。由于這些零寬度的空格不呈現(xiàn)，接收者無(wú)法看到URL中的隨機(jī)特殊字符。

黑客利用零寬度空格將釣魚(yú)URL從Office 365 Security和Office 365 ATP中隱藏，而后發(fā)送大量釣魚(yú)郵件。

專(zhuān)家解釋說(shuō)，在原始HTML中，零寬度空格是數(shù)字和特殊字符的混合，這些字符隨機(jī)插入U(xiǎn)RL的單詞或字母之間。但在瀏覽器中看不見(jiàn)這些字符。此次事件中，黑客發(fā)送的郵件信息包括用于獲取美國(guó)大通銀行客戶憑證的釣魚(yú)網(wǎng)頁(yè)的鏈接。

最近出現(xiàn)的零寬度空格攻擊是baseStriker技術(shù)和ZeroFont攻擊的升級(jí)版。