Microsoft Outlook曝嚴重安全漏洞
責編:gltian |2018-04-13 14:24:20微軟在本月的“周二補丁日”一次性發布了關于60多個安全漏洞的修補程序,由美國計算機緊急事件響應小組協調中心(CERT/CC)的Will Dormann?發現的漏洞CVE-2018-0950就是其中之一。
CVE-2018-0950是一個存在Microsoft Outlook中的漏洞,可能允許攻擊者竊取敏感信息(包括Windows用戶的計算機登錄憑證),而攻擊者所要做的只是誘導受害者使用Microsoft Outlook預覽電子郵件,而無需任何其他用戶交互。
在介紹這個漏洞之前,我們需要了解一些與這個漏洞有關的基礎知識:
Microsoft Outlook
Microsoft Outlook是Microsoft Office附帶的電子郵件客戶端,它包含了發送以及查看富文本格式(RTF)電子郵件的功能,這些消息可以在其中包含OLE對象。而由于SMB協議,OLE對象可以位于遠程服務器上。
OLE
OLE是微軟于1990年發布的一項技術,它允許將來自一個程序的內容嵌入到另一個程序處理的文檔中。例如,在Windows 3.x中,Microsoft Write提供了嵌入圖片、音頻或包(Package)對象的功能。
SMB
SMB(服務器消息塊)是一種協議,它擴展了用于本地文件訪問的DOS API以包含網絡功能。也就是說,用戶可以訪問遠程服務器上的文件,就像訪問本地驅動器上的文件一樣。微軟在Windows for Workgroups 3.1中包含了SMB功能,該版本于1992年發布。
Dormann表示,遠程攻擊者可以通過向目標受害者發送RTF電子郵件來利用此漏洞,電子郵件包含了遠程托管的映像文件(OLE對象),并由攻擊者控制的SMB服務器加載。
由于Microsoft Outlook自動呈現OLE內容,它將使用單點登錄(SSO)通過SMB協議啟動對攻擊者服務器的自動身份驗證,受害者的用戶名和密碼將以NTLMv2哈希值的形式發送給攻擊者,從而可能允許攻擊者進入受害者的系統。
通過Dormann的測試,以下內容將被泄露:
- IP地址
- 域名
- 用戶名
- 主機名
- SMB會話密鑰
Dormann在2016年11月首次向微軟報告了這個漏洞。正如文章開頭提到的那樣,微軟已經在本月的“周二補丁日”發布了一個修復程序來解決這個問題。
不過,Dormann指出,盡管微軟花了近18個月時間來開發針對這個漏洞的修復程序,但這個修補程序僅是防止了Microsoft Outlook在預覽RTF電子郵件時自動啟動SMB連接,而這并不能阻止所有SMB攻擊。
Dormann表示,在Windows平臺上,有很多種方法可以使Microsoft Outlook客戶端啟動SMB連接。而無論方法如何,只要SMB連接啟動時,Microsoft Outlook客戶端的IP地址、域名、用戶名、主機名和SMB會話密鑰都可能遭到泄漏。
為此,Dormann建議Windows用戶,特別是企業網絡管理員可以通過以下幾個步驟來減輕此漏洞帶來的安全風險:
- 安裝微軟針對CVE-2018-0950發布的修復程序,盡管它看上去是一個“半成品”。但它的確能夠防止在預覽RTF電子郵件時自動檢索Microsoft Outlook中的遠程OLE對象。
- 禁用那些用于傳入和傳出SMB會話的特定端口(如445/tcp、137/tcp、139/ tcp、137/udp和139/udp)。
- 禁用NT LAN Manager(NTLM)單點登錄(SSO)身份驗證;
- 堅持使用相對較復雜的密碼,即使密碼的哈希值遭到竊取,也能夠使得它不能被輕易破解;
- 最重要的是,不要點擊電子郵件中提供的任何可疑鏈接。