Networkforensic

Cyber threat hunting

ZeroFont Attack sårbarhed i Kerio Connect

21 Juni 2018  - Blog Post # 691

Det er ikke kun Office 365 der er sårbar overfor ZeroFont attacks
I forbindelse med publicering af sårbarheden ZeroFont der ramte Office 365, så står Office 365 ikke alene. Jeg har netop været i kontakt med Kerio (GFI) med dokumentation for at Kerio Connect i seneste version 9.2.7 har denne sårbarhed. Dette gælder sikkert også alle tidligere versioner. og sikkert også mange andre typer systemer end Kerio og Office 365. Man skal ikke undervurdere denne mulighed og det den gør muligt :-)

Angreb
Basalt kan man selv læse om teknikken bag angrebet, men det handler om at benyttes følgende tag <span style='font-size:0'> Det betyder at tekst bliver sat til nul i størrelse og derved bliver ignoreret af SPAM engiens. Man kan så skjule tekst med mere og her tænker jeg også scripting. Det vil ramme dem der benytter sig af HTML i mail som jeg aldrig ville anbefale nogen gør.

Det er hvad der blev sendt i HTML mailen og hvad en bruger ikke vil se på et sårbart system.

Det er hvad en sårbar SPAM håndterings engine vil se. En masse små bidder af tekst. Her ville det også bare blive vist som teksten "Microsoft Security Team" når man ser dette i HTML formateret mail.

Wireshark
Kigger jeg på angrebet set igennem Wireshark, så ser man tydelig at, der skal benyttes flere tags for at få noget positivt ud af dette angreb.

Frigivet IDS Rule
Denne rule ser på netop span style tagget som er nul. Modtages denne form for mail via SMTP kan man spotte det med IDS. Køre det via krypteret kanaler som eks SSMTP, skal det identificeres direkte som en SPAM rule på serveren der kigger efter span rule tagget.og det virker fint. Det virker også på en sårbar Kerio Connect server.

 

 NF IDS Rules
5 Latest Updates 

NetCut Attack

ZeroFont Attack

TLD domains

Sofacy

DNS TXT SQ

Download