压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

Microsoft Outlook曝嚴(yán)重安全漏洞

責(zé)編:gltian |2018-04-13 14:24:20

微軟在本月的“周二補(bǔ)丁日”一次性發(fā)布了關(guān)于60多個(gè)安全漏洞的修補(bǔ)程序,由美國(guó)計(jì)算機(jī)緊急事件響應(yīng)小組協(xié)調(diào)中心(CERT/CC)的Will Dormann?發(fā)現(xiàn)的漏洞CVE-2018-0950就是其中之一。

CVE-2018-0950是一個(gè)存在Microsoft Outlook中的漏洞,可能允許攻擊者竊取敏感信息(包括Windows用戶的計(jì)算機(jī)登錄憑證),而攻擊者所要做的只是誘導(dǎo)受害者使用Microsoft Outlook預(yù)覽電子郵件,而無(wú)需任何其他用戶交互。

在介紹這個(gè)漏洞之前,我們需要了解一些與這個(gè)漏洞有關(guān)的基礎(chǔ)知識(shí):

Microsoft Outlook

Microsoft Outlook是Microsoft Office附帶的電子郵件客戶端,它包含了發(fā)送以及查看富文本格式(RTF)電子郵件的功能,這些消息可以在其中包含OLE對(duì)象。而由于SMB協(xié)議,OLE對(duì)象可以位于遠(yuǎn)程服務(wù)器上。

OLE

OLE是微軟于1990年發(fā)布的一項(xiàng)技術(shù),它允許將來(lái)自一個(gè)程序的內(nèi)容嵌入到另一個(gè)程序處理的文檔中。例如,在Windows 3.x中,Microsoft Write提供了嵌入圖片、音頻或包(Package)對(duì)象的功能。

SMB

SMB(服務(wù)器消息塊)是一種協(xié)議,它擴(kuò)展了用于本地文件訪問(wèn)的DOS API以包含網(wǎng)絡(luò)功能。也就是說(shuō),用戶可以訪問(wèn)遠(yuǎn)程服務(wù)器上的文件,就像訪問(wèn)本地驅(qū)動(dòng)器上的文件一樣。微軟在Windows for Workgroups 3.1中包含了SMB功能,該版本于1992年發(fā)布。

Dormann表示,遠(yuǎn)程攻擊者可以通過(guò)向目標(biāo)受害者發(fā)送RTF電子郵件來(lái)利用此漏洞,電子郵件包含了遠(yuǎn)程托管的映像文件(OLE對(duì)象),并由攻擊者控制的SMB服務(wù)器加載。

由于Microsoft Outlook自動(dòng)呈現(xiàn)OLE內(nèi)容,它將使用單點(diǎn)登錄(SSO)通過(guò)SMB協(xié)議啟動(dòng)對(duì)攻擊者服務(wù)器的自動(dòng)身份驗(yàn)證,受害者的用戶名和密碼將以NTLMv2哈希值的形式發(fā)送給攻擊者,從而可能允許攻擊者進(jìn)入受害者的系統(tǒng)。
通過(guò)Dormann的測(cè)試,以下內(nèi)容將被泄露:

  • IP地址
  • 域名
  • 用戶名
  • 主機(jī)名
  • SMB會(huì)話密鑰

Dormann在2016年11月首次向微軟報(bào)告了這個(gè)漏洞。正如文章開(kāi)頭提到的那樣,微軟已經(jīng)在本月的“周二補(bǔ)丁日”發(fā)布了一個(gè)修復(fù)程序來(lái)解決這個(gè)問(wèn)題。

不過(guò),Dormann指出,盡管微軟花了近18個(gè)月時(shí)間來(lái)開(kāi)發(fā)針對(duì)這個(gè)漏洞的修復(fù)程序,但這個(gè)修補(bǔ)程序僅是防止了Microsoft Outlook在預(yù)覽RTF電子郵件時(shí)自動(dòng)啟動(dòng)SMB連接,而這并不能阻止所有SMB攻擊。

Dormann表示,在Windows平臺(tái)上,有很多種方法可以使Microsoft Outlook客戶端啟動(dòng)SMB連接。而無(wú)論方法如何,只要SMB連接啟動(dòng)時(shí),Microsoft Outlook客戶端的IP地址、域名、用戶名、主機(jī)名和SMB會(huì)話密鑰都可能遭到泄漏。

為此,Dormann建議Windows用戶,特別是企業(yè)網(wǎng)絡(luò)管理員可以通過(guò)以下幾個(gè)步驟來(lái)減輕此漏洞帶來(lái)的安全風(fēng)險(xiǎn):

  • 安裝微軟針對(duì)CVE-2018-0950發(fā)布的修復(fù)程序,盡管它看上去是一個(gè)“半成品”。但它的確能夠防止在預(yù)覽RTF電子郵件時(shí)自動(dòng)檢索Microsoft Outlook中的遠(yuǎn)程O(píng)LE對(duì)象。
  • 禁用那些用于傳入和傳出SMB會(huì)話的特定端口(如445/tcp、137/tcp、139/ tcp、137/udp和139/udp)。
  • 禁用NT LAN Manager(NTLM)單點(diǎn)登錄(SSO)身份驗(yàn)證;
  • 堅(jiān)持使用相對(duì)較復(fù)雜的密碼,即使密碼的哈希值遭到竊取,也能夠使得它不能被輕易破解;
  • 最重要的是,不要點(diǎn)擊電子郵件中提供的任何可疑鏈接。
本文轉(zhuǎn)自黑客視界。原文:https://mp.weixin.qq.com/s/Qf3OXOCGPNdFGDCUdGgV5g

上一篇:博鰲亞洲論壇閃耀世界 銳捷成為夜景之光背后功臣

下一篇:部分中國(guó)電信光貓已被Mirai僵尸網(wǎng)絡(luò)拿下 下個(gè)攻擊目標(biāo)定為巴西