微软公司本月发布的例行安全更新已解决18 个月前安全研究人员上报的Microsoft Outlook客户端安全漏洞。
但是这个安全更新仍然不能彻底解决邮件客户端中密码盗窃问题, 最终只能是用户自己多加注意防止被钓鱼。
CVE-2018-0950 安全漏洞:
该漏洞主要是在预览RTF格式的邮件时可能自动启动连接SMB 服务然后加载远程服务器托管的OLE映像文件。
攻击者只需要使用含有恶意代码的RTF 邮件并诱骗用户预览即可展开攻击,此攻击不需要用户进行其他交互。
Microsoft Outlook在尝试自动加载时会通过SMB协议并单点登录进行验证,这里会自动提交用户账号密码。
稍微好点的是提交的密码是经过NTLMv2加密后的哈希值,攻击者拿到哈希值后需要破解才能拿到明文版本。
但用户如果使用的是弱密码则攻击者可以在很短的时间内将其破解,借助密码可以远程访问受害者的计算机。
2016年11月上报到现在才修复:
美国国家互联网应急中心的研究人员在发现该漏洞后即向微软报告, 直到2018年4月份微软才发布安全更新。
但遗憾的是这次的安全更新并不能算作是完整的解决方案,因为攻击者依然可以借助SMB连接再次展开攻击。
攻击者在电子邮件中使用\\开头的UNC链接诱导用户点击,若用户点击则可以自动连接SMB泄露自己的密码。
在微软看来这是个正常的功能因此不需要处理,此前微软也认为Office DDE安全漏洞不重要因此选择忽略掉。
应对措施(尤其是企业):
该漏洞影响Microsoft Office 2007 SP3~Microsoft Office 2016,用户必须安装安全更新封堵OLE对象漏洞。
其次针对SMB自动连接问题建议企业IT管理员封堵445/TCP、137/TCP/UDP以及139/TCP/UDP协议端口号。
最好阻止NTLM 进行单点登录身份验证,同时在日常宣导中强调使用强密码以及不要点击邮件中的陌生链接。
免费领路由器:
领取专属 10元无门槛券
私享最新 技术干货