2023 年 1 月份由美國非營利組織 MITRE 所維護的國際漏洞資料庫 CVE 接獲郵件軟體 Microsoft Outlook 之嚴重漏洞,給予編號 CVE-2023-23397 及高達 9.8 分的 CVSS 漏洞評等(最危險為滿分 10 分),不論是機密性、完整性及可用性皆達最高風險等級,並且能由網路任一處發動此攻擊;最嚴重的是其不需要使用者任何互動即可觸發,是一種駭客能輕易獲得特定主機存取權、甚至是管理者權限之權限提升(elevation of privilege,EoP)漏洞。由於有多個報告指出漏洞正受到攻擊,且可能被駭客利用作為攻擊歐洲組織的工具,因此微軟已公開確認此訊息,並於 3 月 14 日釋出偵測工具及提供修補程式。
此重大資安漏洞對於所有 Windows 版本的 Outlook 使用者威脅甚鉅,只要用戶端一收到帶有偽裝成行事曆事件通知的特定惡意信件,不需要讀取或開啟該信件,即可觸發個人電腦自動送出已儲存之 SMB 伺服器身分認證資訊,等於無聲無息將企業的「網芳」或內部 Microsoft AD 等重要身分認證資訊,無條件奉上送至駭客手中,攻擊者不但可冒用受害人身分完成驗證存取,甚至能盜取資料或安裝惡意軟體。管理者雖可透過封鎖 TCP 445 埠,也就是通往 SMB 伺服器的對外連線來阻擋身分認證資訊被自動送至惡意主機,卻也會因此影響網芳等服務的正常使用。另一變通方式是將 Outlook 軟體中的行事曆改為「不會顯示提醒」避免觸發此漏洞,不過此舉則可能影響所有人員的日常行事曆使用,帶來更多辦公流程的不便。
因本問題根源於微軟之郵件軟體漏洞,Openfind 身為郵件主機及相關資安服務提供者,從郵件遞送過程中協助攔阻處理的重要性不言可喻。網擎資安長張嘉淵表示:「目前網擎資訊持續服務許多重要政府機關及大型企業客戶,既然此次針對 Outlook 零時差漏洞之攻擊是透過寄送惡意 Email 的手法,網擎自是責無旁貸,第一時間已由 Openfind 電子郵件威脅實驗室著手研發可阻擋此類攻擊的方式,協助所有客戶立刻降低相關風險。」目前 Openfind 的 Mail2000 與 MailGates 等軟體產品,以及 OSecure 或 MailCloud、政府雲端電子郵件(EaaS)等服務,皆可提供對應 Outlook CVE-2023-23397 安全漏洞之防護功能,將問題信件攔阻後去除惡意內容,徹底避免 Outlook 使用者收到信件後造成身份被盜用之後續危害。
首圖來源: Openfind 網擎資訊 官網,説資安新聞網製圖