微软Outlook爆严重漏洞，只要收信不必点开就能泄露身份认证信息

今年一月份由美国非营利组织MITRE所维护的国际漏洞数据库CVE，接获邮件软件Microsoft Outlook之严重漏洞，给予编号CVE-2023-23397。

MITRE 指出，CVE-2023-23397 漏洞拥有高达 9.8 分的 CVSS 漏洞评等，最危险为满分 10 分，不论是机密性、完整性及可用性皆达最高风险等级，并且能由网络任一处发动此攻击。

CVE-2023-23397 最严重之处，在于其不需要用户任何互动即可触发，是一种黑客能轻易获得特定主机存取权、甚至是管理者权限之权限提升（elevation of privilege，EoP）漏洞。由于有多个报告指出漏洞正受到攻击，且可能被黑客利用作为攻击欧洲组织的工具，因此微软已公开确认此信息，并于3月14日释出侦测工具及提供修补程序。

此重大资安漏洞对于所有Windows版本的Outlook用户威胁甚巨，只要客户端一收到带有伪装成行事历事件通知的特定恶意信件，不需要读取或开启该信件，即可触发个人电脑自动送出已储存之SMB服务器身份认证信息，等于无声无息将企业的「网芳」或内部 Microsoft AD 等重要身分认证信息，无条件奉上送至黑客手中。

攻击者不但可冒用受害人身份完成验证存取，甚至能盗取资料或安装恶意软件。管理者虽可透过封锁 TCP 445 端口，也就是通往 SMB 服务器的对外连线来阻挡身份认证信息被自动送至恶意主机，却也会因此影响网芳等服务的正常使用。另一变通方式是将 Outlook 软件中的行事历改为「不会显示提醒」避免触发此漏洞，不过此举则可能影响所有人员的日常行事历使用，带来更多办公流程的不便。

Openfind 网擎信息近期亦陆续接获不少客户询问此一资安事件，因本问题根源于微软之邮件软件漏洞，Openfind 身为邮件主机及相关资安服务提供商，从邮件递送过程中协助拦阻处理的重要性不言可喻。

网擎资安长张嘉渊表示，目前网擎信息持续服务许多重要政府机关及大型企业客户，既然此次针对Outlook零时差漏洞之攻击是透过寄送恶意Email的手法，网擎自是责无旁贷，第一时间已由Openfind电子邮件威胁实验室着手研发可阻挡此类攻击的方式，协助所有客户立刻降低相关风险。

网擎信息指出，目前 Openfind 的 Mail2000 与 MailGates 等软件产品，以及 OSecure 或 MailCloud 、政府云端电子邮件（EaaS）等服务，皆可提供对应 Outlook CVE-2023-23397 安全漏洞之防护功能，将问题信件拦阻后去除恶意内容，彻底避免 Outlook 用户收到信件后造成身份被盗用之后续危害。

大型企业或组织由于系统用户众多，在各原厂如微软等发布程序更新后，往往无法全面替内部所有人员完成修复，尤其在漏洞经公开披露后，企业首当其冲马上面临极大的资安风险。

网擎资讯认为，如果能透过Openfind这一类的角色从过程中直接拦阻各式零时差攻击，以「联防」的方式，从不同管道协力处理紧急资安事件，除了能为所有客户把关第一道防线之外，也共同为守护全民资安发挥在地的最大力量。