Un simple espacio compromete la seguridad de Microsoft Office 365

Software

Los gigantes tecnológicos están constantemente buscando cómo mejorar la seguridad de sus productos de software. Pero mientras ellos hacen esto, los piratas informáticos están también buscando cómo comprometerla. Y en el caso de la suite de ofimática Microsoft Office 365, lo que han encontrado los piratas informáticos es tan sencillo como usar espacios para poner contra las cuerdas el sistema Safe Links, que impide que sus usuarios sean atacadas con enlaces que llevan a sites de phishing y con malware.

En su suite de ofimática Microsoft Office 365, la compañía de Redmond cuenta con Safe Links. Se trata de un sistema de seguridad que sirve para proteger a los usuarios, pero ¿de qué manera? Sencillamente, sustituye cualquier dirección URL por una segura, de los servidores de Microsoft, para ejecutar un análisis previo. Una vez se ejecuta el análisis, se permite el acceso a la URL al usuario, o bien se le manda un aviso de los riesgos que se han encontrado en la misma. Pero los piratas informáticos han encontrado que, con un simple espacio, es posible comprometer el funcionamiento de esta herramienta de seguridad incluida en Microsoft Office 365, como parte de ‘Advanced Threat Protection’.

Un simple espacio y el ‘análisis de enlaces’ de Microsoft Office 365 es incapaz de detectar el phishing o el malware en una dirección URL

Desde Avanan, una compañía dedicada a la seguridad informática, han demostrado cómo los atacantes han conseguido saltarse la verificación de reputación de direcciones URL de Safe Links, en Microsoft Office 365. Hablamos de ‘un espacio’pero realmente se trata de un espacio de ancho cero. Cuando nosotros pulsamos la barra espaciadora en Word, por ejemplo, se introduce un espacio regular; sin embargo, con código, es posible insertar un espacio de ancho cero que forma parte de los caracteres de Unicode.

El problema está en que, al introducir este tipo de espacios en la propia URL enviada por correo electrónico, se rompe el patrón típico de una dirección URL y, por lo tanto, el sistema automatizado de Microsoft es incapaz de reconocer el texto como un enlace. Al no detectar una dirección URL, sencillamente no se ejecuta el cambio de dirección, el posterior análisis y la redirección o el sistema de alerta para el usuario. Se alertó al respecto a Microsoft en noviembre del año pasado, y la solución llegó hace apenas unas horas a los usuarios.

Escrito por Carlos González

Fuente > thehackernews