Min kollega fick ett case från en kund som undrade varför WeCloud EmailSecurity blockerade utgående e-post från en av deras användare. Kunden använder Office 365 för att skicka och ta emot e-post.
Vi tog en titt på mailet och det såg inte så märkligt ut. Bara text och inga bifogade filer:
Headern på mailet kunde också bekräfta att mailet verkligen var skickat med Office 365. Innehållet i mailet var också riktigt och skrivet av användaren.
Men mailet var ovanligt stor och någonting hade ju triggat vår epostsäkerhetstjänst så vi fortsatte gräva. Genom att analysa HTML-källan upptäckte vi flera hundra URL'er som länkade till minst sagt märkliga webbsidor som t.ex. yourfuckbook.com och adultfriendfinder.com.
Hur Microsoft kan tillåta den här typen av farligt skräp är obegripligt. Effekterna kan bli förödande, inte minst belastning på nätverk när ett vanligt text-mail plötsligt blir nära en megabyte stora.
Vi vet fortfarande inte exakt vad som orsakat den oönskade koden i eposten men misstänker att det handlar om något skräp på klienten som modifierar saker och ting i Office365. I liknande fall har det visat sig vara en s.k. "Ad Blocker" som modifierat innehållet i epostens html-kod.
Trevlig helg & lita inte på Microsoft när det kommer till säkerhet!
Vi tog en titt på mailet och det såg inte så märkligt ut. Bara text och inga bifogade filer:
Headern på mailet kunde också bekräfta att mailet verkligen var skickat med Office 365. Innehållet i mailet var också riktigt och skrivet av användaren.
Men mailet var ovanligt stor och någonting hade ju triggat vår epostsäkerhetstjänst så vi fortsatte gräva. Genom att analysa HTML-källan upptäckte vi flera hundra URL'er som länkade till minst sagt märkliga webbsidor som t.ex. yourfuckbook.com och adultfriendfinder.com.
Hur Microsoft kan tillåta den här typen av farligt skräp är obegripligt. Effekterna kan bli förödande, inte minst belastning på nätverk när ett vanligt text-mail plötsligt blir nära en megabyte stora.
Vi vet fortfarande inte exakt vad som orsakat den oönskade koden i eposten men misstänker att det handlar om något skräp på klienten som modifierar saker och ting i Office365. I liknande fall har det visat sig vara en s.k. "Ad Blocker" som modifierat innehållet i epostens html-kod.
Trevlig helg & lita inte på Microsoft när det kommer till säkerhet!
Inga kommentarer:
Skicka en kommentar