baseStriker 공격

( 1 ) 취약점 정의

2018년 05월 01일에 클라우드 보안 업체 Avanan 의 보안연구원이 Microsoft Office 365 전자 메일 서비스의 치명적인 취약점을 확인함.
해당 취약점을 baseStriker 공격으로 명명하였으며 HTML 전자 메일의 헤더에 HTML <base> 태그를 이용하여 악의적인 링크를 분할하고 위장시킨 후 Microsoft Office 365 의 Safe Links 기능을 우회시키는 취약점임.

( 2 ) <base> 요소

HTML <base> 요소는 HTML 문서에 포함된 모든 상대 URL 들의 기준 URL 을 명시함.
한 문서에 하나의 <base> 요소만이 올 수 있으며 HTML 문서의 <head> 요소 안에서 사용됨.
그리고 한 문서에 하나의 href 속성이나 target 속성 중 반드시 하나 이상을 써야하며 둘 다 사용할 수도 있음.

속성은 아래와 같음.
1. href : HTML 문서의 기준이 되는 URL을 지정함.
2. target : 링크를 어떤 프레임에 열것인지를 결정함.
_blank : 새창에 열기
_parent : 부모창에 열기
_self : 자신의 창에 열기
_top : 화면이 여러 프레임으로 이루어져있는 경우 모든 프레임을 지우고 전체 화면에 열기
[name] : 지정된 이름에 링크를 열기

( 3 ) 취약점 분석

Microsoft 는 Safe Links 기능을 통해 Office 사용자가 악의적인 코드 및 피싱 공격으로부터 보호하기 위해 설계되었으며 이는 Microsoft 의 ATP(Advanced Threat Protection) 의 일부임.
해당 기능을 통해 수신된 전자 메일의 모든 URL 을 Microsoft 가 소유한 보안 URL 로 바꾸는 방식으로 작동함.

좀 더 쉽게 설명하자면 사용자가 전자 메일에 포함된 링크를 클릭하면 먼저 Microsoft 에서 운영하는 도메인으로 사용자를 리디렉션하여 원래 URL 에서 의심스러운 항목이 없는지 확인함.
검사에서 의심스러운 활동을 탐지하면 사용자에게 경고하고 그렇지 않으면 사용자가 원래 링크로 리디렉션됨.

그러나 HTML <base> 태그를 이용하여 악의적인 링크를 분할하고 위장시킨 후 Microsoft Office 365 의 Safe Links 기능을 우회시킬 수 있음.

위 그림은 전통적인 피싱 방식과 baseStriker 공격을 이용한 피싱 방식을 각각 보여줌.

( 4 ) 취약점 방어

해당 취약점에 대해 Microsoft 와 Proofpoint 사에 통보된 상태이며 아직 미패치된 상태임.
아래 도표는 각 제품별로 baseStriker 공격의 취약 여부에 대한 자료임.

제품별 분류	baseStriker 공격 취약 여부
Office 365	취약함
ATP 및 Safelinks 가 포함된 Office 365	취약함
Proofpoint MTA 가 포함된 Office 365	취약함
Mimecast MTA 가 포함된 Office 365	안전함
Gmail	안전함
Proofpoint MTA 가 포함된 Gmail	아직 실험 중이며 모름
Mimecast MTA 가 포함된 Gmail	안전함
기타 다른 제품	모름