חוקרי אבטחה מזהירים מפני שיטה פשוטה מאוד המאפשרת לעקוף את ההגנות המובנות של Microsoft Office 365, כולל Safe Links, שנועדו במקור להגן על משתמשים מהודעות Phishing ו- Malware. הגנת ה- Safe Links הינה חלק מאוסף ההגנות הכלולות ב- (ATP (Advanced Threat Protection של Microsoft Office 365. הצורה בה Safe Link עובד היא פשוטה, מיקרוסופט מחליפה את כל הקישורים בהודעות שהתקבלו, ומנתבת את המשתמש דרך שרתי הבדיקה של החברה, שקודם כל מוודאים אם הקישור כשר.
חוקרי אבטחה מחברת Avanan הראו כיצד תוקפים עוקפים את הגנה ה- URL Reputation Check וכן ה- Safe Links ע"י שימוש בתווי רוחב-אפס (Zero-Width Spaces – ZWSPs). תווים אלו נתמכים ע"י כל הדפדפנים המודרניים, ומשמשים בעיקר לעיצוב טקסטים כגון Line wrapping. רוב התוכנות מתייחסות אליהם כרווח רגיל, אך זה לא נראה לעיני המשתמש (הרווח מוסתר).
התווי הקיימים:
לפי חוקרי האבטחה, התוקפים פשוט מוסיפים לקישור כמה תווים כאלו, ובכך סריקת המייל של חברת Microsoft לא מזהה אותם כקישורים – ולא מחליפה אותם בקישורים הבטוחים. הדגמה ניתן לראות כאן.
