Openfind 協助客戶因應Microsoft Outlook 資安威脅

2023年1月由美國非營利組織MITRE所維護的國際漏洞資料庫CVE接獲郵件軟體Microsoft Outlook之嚴重漏洞，給予編號CVE-2023-23397及高達9.8分的CVSS漏洞評等（最危險為滿分10分），不論是機密性、完整性及可用性皆達最高風險等級，並且能由網路任一處發動此攻擊；最嚴重的是其不需要使用者任何互動即可觸發，是一種駭客能輕易獲得特定主機存取權、甚至是管理者權限之權限提升（elevation of privilege；EoP）漏洞。由於有多個報告指出漏洞正受到攻擊，且可能被駭客利用作為攻擊歐洲組織的工具，因此微軟已公開確認此訊息，並於3月14日釋出偵測工具及提供修補程式。

此重大資安漏洞對於所有Windows版本的Outlook使用者威脅甚鉅，只要用戶端一收到帶有偽裝成行事曆事件通知的特定惡意信件，不需要讀取或開啟該信件，即可觸發個人電腦自動送出已儲存之SMB伺服器身分認證資訊，等於無聲無息將企業的「網芳」或內部Microsoft AD等重要身分認證資訊，無條件奉上送至駭客手中，攻擊者不但可冒用受害人身分完成驗證存取，甚至能盜取資料或安裝惡意軟體。

管理者雖可透過封鎖TCP 445埠，也就是通往SMB伺服器的對外連線來阻擋身分認證資訊被自動送至惡意主機，卻也會因此影響網芳等服務的正常使用。另一變通方式是將Outlook軟體中的行事曆改為「不會顯示提醒」避免觸發此漏洞，不過此舉則可能影響所有人員的日常行事曆使用，帶來更多辦公流程的不便。

Openfind網擎資訊近期亦陸續接獲不少客戶詢問此一資安事件，因本問題根源於微軟之郵件軟體漏洞，Openfind身為郵件主機及相關資安服務提供者，從郵件遞送過程中協助攔阻處理的重要性不言可喻。

網擎資安長張嘉淵表示：「目前網擎資訊持續服務許多重要政府機關及大型企業客戶，既然此次針對 Outlook零時差漏洞之攻擊是透過寄送惡意Email的手法，網擎自是責無旁貸，第一時間已由Openfind電子郵件威脅實驗室著手研發可阻擋此類攻擊的方式，協助所有客戶立刻降低相關風險。」

目前Openfind的Mail2000與MailGates等軟體產品，以及OSecure或MailCloud、政府雲端電子郵件（EaaS）等服務，皆可提供對應Outlook CVE-2023-23397安全漏洞之防護功能，將問題信件攔阻後去除惡意內容，徹底避免Outlook使用者收到信件後造成身分被盜用之後續危害。

大型企業或組織由於系統使用者眾多，在各原廠如微軟等發布程式更新後，往往無法全面替內部所有人員完成修復，尤其在漏洞經公開披露後，企業首當其衝馬上面臨極大的資安風險。因此如果能透過Openfind這一類的角色從過程中直接攔阻各式零時差攻擊，以「聯防」的方式，從不同管道協力處理緊急資安事件，除了能為所有客戶把關第一道防線之外，也共同為守護全民資安發揮在地的最大力量。