今年一月份由美国非营利组织MITRE所维护的国际漏洞数据库CVE,接获邮件软件Microsoft Outlook之严重漏洞,给予编号CVE-2023-23397。
MITRE指出,CVE-2023-23397漏洞拥有高达9.8分的CVSS漏洞评级,最危险为满分10分,不论是机密性、完整性及可用性皆达最高风险等级,并且能由网络任一处发动此攻击。
CVE-2023-23397最严重之处,在于其不需要用户任何互动即可触发,是一种黑客能轻易获得特定主机访问权、甚至是管理者权限之权限提升(elevation of privilege,EoP)漏洞。由于有多个报告指出漏洞正受到攻击,且可能被黑客利用作为攻击欧洲组织的工具,因此微软已公开确认此消息,并于3月14日发布侦测工具及提供修补程序。
此重大安全漏洞对于所有Windows版本的Outlook用户威胁甚钜,只要用户端一收到带有伪装成行程表事件通知的特定恶意信件,不需要读取或打开该信件,即可触发个人计算机自动送出已存储之SMB服务器身份认证资讯,等于无声无息将企业的“网芳”或内部Microsoft AD等重要身份认证资讯,无条件奉上送至黑客手中。
攻击者不但可冒用受害人身份完成验证访问,甚至能盗取资料或安装恶意软件。管理者虽可通过封锁TCP 445端口,也就是通往SMB服务器的对外连接来阻挡身份认证资讯被自动送至恶意主机,却也会因此影响网芳等服务的正常使用。另一变通方式是将Outlook软件中的行程表改为“不会显示提醒”避免触发此漏洞,不过此举则可能影响所有人员的日常行程表使用,带来更多办公流程的不便。
Openfind网擎资讯近期也陆续接获不少客户询问该安全事件,因本问题根源于微软之邮件软件漏洞,Openfind身为邮件主机及相关安全服务提供者,从邮件传送过程中协助阻拦处理的重要性不言可喻。
网擎首席安全官张嘉渊表示,目前网擎资讯持续服务许多重要政府机关及大型企业客户,既然此次针对Outlook零时差漏洞之攻击是通过发送恶意Email的手法,网擎自是责无旁贷,第一时间已由Openfind电子邮件威胁实验室着手研发可阻挡此类攻击的方式,协助所有客户立刻降低相关风险。
网擎资讯指出,目前Openfind的Mail2000与MailGates等软件产品,以及OSecure或MailCloud、政府云计算电子邮件(EaaS)等服务,皆可提供对应Outlook CVE-2023-23397安全漏洞之防护功能,将问题信件阻拦后去除恶意内容,彻底避免Outlook用户收到信件后造成身份被盗用之后续危害。
大型企业或组织由于系统用户众多,在各原厂如微软等发布程序更新后,往往无法全面替内部所有人员完成修复,尤其在漏洞经公开披露后,企业首当其冲马上面临极大的安全风险。
网擎资讯认为,如果能通过Openfind这一类的角色从过程中直接阻拦各式零时差攻击,以“联防”的方式,从不同渠道协助处理紧急安全事件,除了能为所有客户把关第一道防线之外,也共同为守护全民安全发挥当地的最大力量。