2023年1月份由美國非營利組織MITRE所維護的國際漏洞資料庫CVE接獲郵件軟體Microsoft Outlook之嚴重漏洞,給予編號CVE-2023-23397及高達9.8分的CVSS漏洞評等(最危險為滿分10分),不論是機密性、完整性及可用性皆達最高風險等級,並且能由網路任一處發動此攻擊;最嚴重的是其不需要使用者任何互動即可觸發,是一種駭客能輕易獲得特定主機存取權、甚至是管理者權限之權限提升(elevation of privilege,EoP)漏洞。
由於有多個報告指出漏洞正受到攻擊,且可能被駭客利用作為攻擊歐洲組織的工具,因此微軟已公開確認此訊息,並於3月14日釋出偵測工具及提供修補程式。
此重大資安漏洞對於所有Windows版本的Outlook使用者威脅甚鉅,只要用戶端一收到帶有偽裝成行事曆事件通知的特定惡意信件,不需要讀取或開啟該信件,即可觸發個人電腦自動送出已儲存之SMB伺服器身分認證資訊,等於無聲無息將企業的「網芳」或內部Microsoft AD等重要身分認證資訊,無條件奉上送至駭客手中,攻擊者不但可冒用受害人身分完成驗證存取,甚至能盜取資料或安裝惡意軟體。
管理者雖可透過封鎖TCP 445埠,也就是通往SMB伺服器的對外連線來阻擋身分認證資訊被自動送至惡意主機,卻也會因此影響網芳等服務的正常使用。另一變通方式是將Outlook軟體中的行事曆改為「不會顯示提醒」避免觸發此漏洞,不過此舉則可能影響所有人員的日常行事曆使用,帶來更多辦公流程的不便。
Openfind網擎資訊近期亦陸續接獲不少客戶詢問此一資安事件,因本問題根源於微軟之郵件軟體漏洞,Openfind身為郵件主機及相關資安服務提供者,從郵件遞送過程中協助攔阻處理的重要性不言可喻。
網擎資安長張嘉淵表示:「目前網擎資訊持續服務許多重要政府機關及大型企業客戶,既然此次針對Outlook零時差漏洞之攻擊是透過寄送惡意Email的手法,網擎自是責無旁貸,第一時間已由Openfind電子郵件威脅實驗室著手研發可阻擋此類攻擊的方式,協助所有客戶立刻降低相關風險。」
目前Openfind的Mail2000與MailGates等軟體產品,以及OSecure或MailCloud、政府雲端電子郵件(EaaS)等服務,皆可提供對應Outlook CVE-2023-23397安全漏洞之防護功能,將問題信件攔阻後去除惡意內容,徹底避免Outlook使用者收到信件後造成身份被盜用之後續危害。
大型企業或組織由於系統使用者眾多,在各原廠如微軟等發佈程式更新後,往往無法全面替內部所有人員完成修復,尤其在漏洞經公開披露後,企業首當其衝馬上面臨極大的資安風險。
因此如果能透過Openfind這一類的角色從過程中直接攔阻各式零時差攻擊,以「聯防」的方式,從不同管道協力處理緊急資安事件,除了能為所有客戶把關第一道防線之外,也共同為守護全民資安發揮在地的最大力量。