Microsoft Outlook曝严重安全漏洞

微软在本月的“周二补丁日”一次性发布了关于60多个安全漏洞的修补程序，由美国计算机紧急事件响应小组协调中心（CERT/CC）的Will Dormann 发现的漏洞CVE-2018-0950就是其中之一。

CVE-2018-0950是一个存在Microsoft Outlook中的漏洞，可能允许攻击者窃取敏感信息（包括Windows用户的计算机登录凭证），而攻击者所要做的只是诱导受害者使用Microsoft Outlook预览电子邮件，而无需任何其他用户交互。

在介绍这个漏洞之前，我们需要了解一些与这个漏洞有关的基础知识：

Microsoft Outlook

Microsoft Outlook是Microsoft Office附带的电子邮件客户端，它包含了发送以及查看富文本格式（RTF）电子邮件的功能，这些消息可以在其中包含OLE对象。而由于SMB协议，OLE对象可以位于远程服务器上。

OLE

OLE是微软于1990年发布的一项技术，它允许将来自一个程序的内容嵌入到另一个程序处理的文档中。例如，在Windows 3.x中，Microsoft Write提供了嵌入图片、音频或包（Package）对象的功能。

SMB

SMB（服务器消息块）是一种协议，它扩展了用于本地文件访问的DOS API以包含网络功能。也就是说，用户可以访问远程服务器上的文件，就像访问本地驱动器上的文件一样。微软在Windows for Workgroups 3.1中包含了SMB功能，该版本于1992年发布。

Dormann表示，远程攻击者可以通过向目标受害者发送RTF电子邮件来利用此漏洞，电子邮件包含了远程托管的映像文件（OLE对象），并由攻击者控制的SMB服务器加载。

由于Microsoft Outlook自动呈现OLE内容，它将使用单点登录（SSO）通过SMB协议启动对攻击者服务器的自动身份验证，受害者的用户名和密码将以NTLMv2哈希值的形式发送给攻击者，从而可能允许攻击者进入受害者的系统。
通过Dormann的测试，以下内容将被泄露：

• IP地址
• 域名
• 用户名
• 主机名
• SMB会话密钥

Dormann在2016年11月首次向微软报告了这个漏洞。正如文章开头提到的那样，微软已经在本月的“周二补丁日”发布了一个修复程序来解决这个问题。

不过，Dormann指出，尽管微软花了近18个月时间来开发针对这个漏洞的修复程序，但这个修补程序仅是防止了Microsoft Outlook在预览RTF电子邮件时自动启动SMB连接，而这并不能阻止所有SMB攻击。

Dormann表示，在Windows平台上，有很多种方法可以使Microsoft Outlook客户端启动SMB连接。而无论方法如何，只要SMB连接启动时，Microsoft Outlook客户端的IP地址、域名、用户名、主机名和SMB会话密钥都可能遭到泄漏。

为此，Dormann建议Windows用户，特别是企业网络管理员可以通过以下几个步骤来减轻此漏洞带来的安全风险：

• 安装微软针对CVE-2018-0950发布的修复程序，尽管它看上去是一个“半成品”。但它的确能够防止在预览RTF电子邮件时自动检索Microsoft Outlook中的远程OLE对象。
• 禁用那些用于传入和传出SMB会话的特定端口（如445/tcp、137/tcp、139/ tcp、137/udp和139/udp）。
• 禁用NT LAN Manager（NTLM）单点登录（SSO）身份验证；
• 坚持使用相对较复杂的密码，即使密码的哈希值遭到窃取，也能够使得它不能被轻易破解；
• 最重要的是，不要点击电子邮件中提供的任何可疑链接。

本文转自黑客视界。原文：https://mp.weixin.qq.com/s/Qf3OXOCGPNdFGDCUdGgV5g