Luka znana jako baseStriker, odkryta na początku maja przez analityków z firmy Avanan, jest aktywnie wykorzystywana przez atakujących do omijania zabezpieczeń Microsoftu na kontach Office 365. Problem dotyczy elementu <base />, względnie rzadko używanego znacznika HTML, który jest umieszczany w sekcji HEAD i określa bazowy adres URL dla wszystkich relatywnych odwołań w danym dokumencie. Atak opiera się na wykorzystaniu dokumentu RTF zawierającego odnośnik do złośliwej strony podzielony na dwie części. Outlook poprawnie generuje link, uzupełniając adres relatywny z sekcji BODY o adres bazowy podany w obrębie HEAD. Badacze zauważyli, że systemy bezpieczeństwa Office365, takie jak Advanced Threat Protection (ATP) i Safelinks, nie potrafią tego zrobić i skanują każdą część odnośnika osobno, co daje przestępcom spore pole do popisu. Dotychczas zaobserwowano ataki polegające na przekierowywaniu nieświadomych użytkowników na strony phishingowe, w taki sam sposób można jednak rozpowszechniać złośliwe oprogramowanie, w tym ransomware.
Ryzyko duże: Istnieje duże prawdopodobieństwo, że opisana wyżej luka zostanie wkrótce użyta zarówno w atakach celowanych, jak i masowych.
Działania długoterminowe: Szkolenie personelu w celu zwiększenia świadomości zagrożeń. Monitorowanie dostępności poprawek usuwających lukę.
