Microsoft is blocking inline Scalable Vector Graphics (SVG) images in its email clients to combat a surge in sophisticated phishing attacks.
The change, affecting Outlook for Web and the new Outlook for Windows, began rolling out in early September 2025 and is expected to be complete by mid-October.
This proactive step responds to threat actors increasingly using SVG files to embed skrip jahat yang dapat memotong filter keamanan dan mencuri kredensial pengguna.
Mengapa gambar SVG menjadi titik buta keamanan
Inti dari kerentanan terletak pada format SVG itu sendiri. Tidak seperti gambar raster seperti JPEG, SVG berbasis XML.
Struktur ini memungkinkan mereka berisi kode yang dapat dieksekusi, seperti JavaScript dan HTML, yang disesuaikan dengan para penyerang untuk membuat halaman phishing atau mengarahkan kembali pengguna yang tidak ada. Hasilnya adalah lonjakan dramatis yang digunakannya. Firma Keamanan Trustwave melaporkan 1800% peningkatan Sing2 in attack-Phishing-“target=”_ _ _ _ _ _ _ _ _ _. 1800% PHISHNE-BORNE-BORNE-BORNE.
Kaspersky menguatkan tren ini, Mendeteksi lebih dari 2.825 email SVG jahat pada kuartal pertama 2025 saja . Kenaikan ini juga didorong oleh proliferasi platform phishing-as-a-service (phaaS) yang menyediakan kit siap untuk meluncurkan serangan kompleks ini.
respons Microsoft: menonaktifkan SVG inline dalam Outlook adalah
sebagai respons terhadap ancaman Escalating ini. Dengan mencegah SVG dari rendering langsung di dalam badan email, perusahaan menetralkan risiko eksekusi skrip langsung.
Perusahaan menekankan dampak terbatas, mencatat bahwa kurang dari 0,1% gambar dalam outlook adalah inline SVG. Risiko keamanan yang potensial, seperti serangan scripting lintas-situs (XSS).”
Pendekatan yang seimbang ini memungkinkan penggunaan SVG yang berkelanjutan sebagai lampiran, di mana mereka mengalami lebih banyak pengawasan dan membutuhkan tindakan pengguna yang eksplisit untuk dibuka, sementara menutup vektor serangan yang berbahaya.
Langkah ini sangat penting dalam lingkungan keamanan yang semakin kuat. Seperti yang dilaporkan sebelumnya oleh WinBuzzer, phishing klik tarif tiga kali lipat pada tahun 2024, didorong oleh kreativitas penyerang dan kelelahan pengguna. Vektor SVG hanyalah evolusi terbaru dalam pertempuran yang sedang berlangsung ini.
strategi yang lebih luas untuk mengeraskan Microsoft 365
Keputusan ini bukanlah perbaikan yang terisolasi tetapi bagian dari fitur yang lebih luas, secara sistemik> secara sistemik telah mengurangi permukaan serangan di seberang produk Ecosystem.
PRANCED PRANTED oleh Microsoft untuk mengurangi permukaan yang terjadi di seluruh produk Ecosystem.
PRANCE PRANDSED OLEH PERUSAHAAN UNTUK MENGURANGI PERUSAHAAN PERUSAHAAN DI ATAS PRODUK ECOSYSTEM. Berguna, sering disalahgunakan oleh aktor ancaman.
Selama beberapa tahun terakhir, Microsoft telah memblokir makro kantor VBA secara default, menonaktifkan tambahan XLL yang tidak dipercayai, dan memperluas daftar jenis file yang diblokir. Masing-masing perubahan ini mewakili pertukaran yang disengaja, memprioritaskan keamanan daripada fungsionalitas warisan.
Sementara gelombang serangan SVG saat ini sering mengarah pada pencurian kredensial, para ahli keamanan memperingatkan bahaya yang lebih besar. Seperti yang dicatat oleh para peneliti Kaspersky,”Penggunaan SVG sebagai wadah untuk konten berbahaya juga dapat digunakan dalam serangan bertarget yang lebih canggih.”Ini menyoroti perlunya perubahan tingkat platform seperti Microsoft, yang mengganggu alat yang digunakan oleh penyerang untuk kampanye yang tersebar luas dan bertarget.
