微軟 Outlook 爆嚴重漏洞,只要收信不必點開就能洩露身分認證資訊
Openfind 網擎資訊指出,今年 1 月份郵件軟體 Microsoft Outlook 出現嚴重漏洞 CVE-2023-23397,CVSS 評等高達 9.8 分,網擎資訊已協助客戶聯防應對。
今年一月份由美國非營利組織 MITRE 所維護的國際漏洞資料庫 CVE,接獲郵件軟體 Microsoft Outlook 之嚴重漏洞,給予編號 CVE-2023-23397。
MITRE 指出,CVE-2023-23397 漏洞擁有高達 9.8 分的 CVSS 漏洞評等,最危險為滿分 10 分,不論是機密性、完整性及可用性皆達最高風險等級,並且能由網路任一處發動此攻擊。
CVE-2023-23397 最嚴重之處,在於其不需要使用者任何互動即可觸發,是一種駭客能輕易獲得特定主機存取權、甚至是管理者權限之權限提升(elevation of privilege,EoP)漏洞。由於有多個報告指出漏洞正受到攻擊,且可能被駭客利用作為攻擊歐洲組織的工具,因此微軟已公開確認此訊息,並於 3 月 14 日釋出偵測工具及提供修補程式。
此重大資安漏洞對於所有 Windows 版本的 Outlook 使用者威脅甚鉅,只要用戶端一收到帶有偽裝成行事曆事件通知的特定惡意信件,不需要讀取或開啟該信件,即可觸發個人電腦自動送出已儲存之 SMB 伺服器身分認證資訊,等於無聲無息將企業的「網芳」或內部 Microsoft AD 等重要身分認證資訊,無條件奉上送至駭客手中。
攻擊者不但可冒用受害人身分完成驗證存取,甚至能盜取資料或安裝惡意軟體。管理者雖可透過封鎖 TCP 445 埠,也就是通往 SMB 伺服器的對外連線來阻擋身分認證資訊被自動送至惡意主機,卻也會因此影響網芳等服務的正常使用。另一變通方式是將 Outlook 軟體中的行事曆改為「不會顯示提醒」避免觸發此漏洞,不過此舉則可能影響所有人員的日常行事曆使用,帶來更多辦公流程的不便。
Openfind 網擎資訊近期亦陸續接獲不少客戶詢問此一資安事件,因本問題根源於微軟之郵件軟體漏洞,Openfind 身為郵件主機及相關資安服務提供者,從郵件遞送過程中協助攔阻處理的重要性不言可喻。
網擎資安長張嘉淵表示,目前網擎資訊持續服務許多重要政府機關及大型企業客戶,既然此次針對 Outlook 零時差漏洞之攻擊是透過寄送惡意 Email 的手法,網擎自是責無旁貸,第一時間已由 Openfind 電子郵件威脅實驗室著手研發可阻擋此類攻擊的方式,協助所有客戶立刻降低相關風險。
網擎資訊指出,目前 Openfind 的 Mail2000 與 MailGates 等軟體產品,以及 OSecure 或 MailCloud、政府雲端電子郵件(EaaS)等服務,皆可提供對應 Outlook CVE-2023-23397 安全漏洞之防護功能,將問題信件攔阻後去除惡意內容,徹底避免 Outlook 使用者收到信件後造成身份被盜用之後續危害。
大型企業或組織由於系統使用者眾多,在各原廠如微軟等發佈程式更新後,往往無法全面替內部所有人員完成修復,尤其在漏洞經公開披露後,企業首當其衝馬上面臨極大的資安風險。
網擎資訊認為,如果能透過 Openfind 這一類的角色從過程中直接攔阻各式零時差攻擊,以「聯防」的方式,從不同管道協力處理緊急資安事件,除了能為所有客戶把關第一道防線之外,也共同為守護全民資安發揮在地的最大力量。