复杂的网络钓鱼利用零日Salesforce漏洞

安全研究人员发现了一个复杂的电子邮件网络钓鱼活动，利用了Salesforce电子邮件服务和SMTP服务器的零日漏洞。

网络安全公司Guardio Labs发现了这一活动，并在上周的一篇技术博客文章中详细介绍了它的发现。

该活动背后的威胁行为者创建了有针对性的网络钓鱼邮件，通过使用Salesforce域避开了传统的检测方法。

为了增加欺骗，这些电子邮件被设计成似乎是从Meta平台发送的，将收件人引导到Facebook网页游戏平台上的网络钓鱼页面。

通过利用可信的电子邮件网关服务，攻击者设法绕过过滤规则，使电子邮件看起来是真实的，并使用收件人的真实姓名个性化。

KnowBe4的安全意识倡导者Erich Kron解释说:“使用之前被反垃圾邮件和反网络钓鱼过滤器白名单和信任的电子邮件网关，恶意行为者能够以更高的成功率向潜在受害者进行网络钓鱼攻击。”

这种来自知名和有记录的来源的攻击可以绕过许多组织使用的保护措施，例如SPF记录，DKIM和DMARC来清除恶意消息。

Guardio Labs的研究还显示，攻击者操纵了Salesforce的电子邮件网关功能，通过Email- to - case功能创建用户控制的子域，有效地绕过了验证过程，利用该功能从看似合法的账户发送电子邮件。

Qualys漏洞研究经理赛义德•阿巴西(Saeed Abbasi)表示，这次攻击凸显了企业加强验证流程以保护电子邮件地址和域名所有权的迫切需要。

Abbasi说:“持续监控和分析电子邮件流量对于发现滥用或异常情况至关重要。与此同时，对遗留系统的审查和更新在维持坚实的防御方面发挥着至关重要的作用。传统的反网络钓鱼方法必须辅以先进的技术，特别是在处理零日漏洞时。”

在发现漏洞后，Guardio Labs立即通知了Salesforce和Meta。两家公司都迅速做出了反应，截至2023年7月28日，该漏洞已在所有Salesforce服务中得到修复。