1. 科技訊首頁
  2. 產(chǎn)經(jīng)

Check Point 揭示Outlook 三種攻擊向量

陳晨 ? ? 產(chǎn)經(jīng)

背景

在數(shù)字時代,人們主要通過電子郵件進行交流,因此電子郵件平臺的安全性至關(guān)重要。自從各種AI工具不斷落地以來,釣魚郵件攻擊的難度與成本均有大幅下降,因此導致此類攻擊數(shù)量與受害者損失頻創(chuàng)新高。在2022年,美國共計發(fā)生“商業(yè)電子郵件入侵”時間兩萬余起,造成損失近27億美元。然而僅在2023年第一季度,同類攻擊事件在美國就已發(fā)生近四萬次。在剛剛過去的2023年第三季度,我國國內(nèi)企業(yè)郵箱用戶共收到釣魚郵件超8千萬封,同比激增47%,環(huán)比增幅也達23%。這些數(shù)字無疑正在警示企業(yè)IT管理者,如果對企業(yè)郵件系統(tǒng)的安全性疏于管理,其后果將十分嚴重。最近 Check Point Research 對 Microsoft Office 中廣泛使用的電子郵件客戶端 Outlook 進行了全面分析,揭示了三種主要攻擊向量:常見、普通和高級。通過分析典型企業(yè)環(huán)境中針對 Outlook 的各種攻擊向量,Check Point將從安全研究的角度審視日常郵件操作可能帶來的安全風險。

注:本文所述研究是在典型/默認的 Outlook + Exchange Server 環(huán)境中,并在安裝了截至 2023 年 11 月安全更新的最新 Outlook 2021(Windows 桌面版)上進行。

常見:超鏈接攻擊向量

在這種攻擊向量中,攻擊者發(fā)送包含惡意 Web 超鏈接的電子郵件。一旦點擊這些鏈接,用戶便會被定向到網(wǎng)絡(luò)釣魚網(wǎng)站,啟動瀏覽器漏洞利用,甚至觸發(fā)使用復(fù)雜技術(shù)的零日漏洞利用。雖然看似簡單,但安全風險大多來自于瀏覽器而非 Outlook 本身。Outlook 將可用性放在首位,認為對每次超鏈接點擊都進行確認是不切實際的。因此,用戶應(yīng)使用可靠的瀏覽器,并謹慎防范網(wǎng)絡(luò)釣魚攻擊。

普通:附件攻擊向量

攻擊者會利用用戶打開電子郵件附件的正常行為。當用戶雙擊附件時,Outlook 會嘗試在 Windows 上調(diào)用該文件類型的默認關(guān)聯(lián)應(yīng)用。因此,安全風險取決于附件文件類型的注冊應(yīng)用的穩(wěn)健性。如果文件類型被標記為“不安全”,Outlook 就會阻止它。對于未分類的文件類型,系統(tǒng)會提示用戶點擊兩次進行確認。因此,用戶必須謹慎行事,對于來自不可信來源的附件,切勿輕易點擊“打開”按鈕。

高級:電子郵件查看和特殊對象攻擊向量

電子郵件查看攻擊向量

當用戶在 Outlook 中查看電子郵件時,這種載體(又稱“預(yù)覽窗格”攻擊)會構(gòu)成威脅。在處理 HTML 和 TNEF 等不同電子郵件格式時可能會出現(xiàn)漏洞。為了增強安全性,建議將 Outlook 配置為只讀純文本電子郵件,但這樣做可能會影響可用性,因為在此類純文本電子郵件中可能無法查看鏈接和圖片。

Outlook 特殊對象攻擊向量

這種高級攻擊向量會利用零日漏洞,例如 CVE-2023-23397。攻擊者可通過發(fā)送惡意“提醒”對象來入侵 Outlook,從而在用戶打開 Outlook 并連接到電子郵件服務(wù)器時觸發(fā)漏洞。值得注意的是,受害者甚至不必查看電子郵件便會觸發(fā)攻擊。這凸顯了及時進行安全更新和謹慎操作的重要性。

結(jié)論和防范措施

綜上所述,保護 Outlook 用戶需要多措并舉。用戶應(yīng)避免點擊未知鏈接,謹慎打開來自不可信來源的附件,并始終確保將 Microsoft 辦公套件升級到最新版本和更新。 更為重要的是,IT決策者應(yīng)該考慮將郵件系統(tǒng)納入整體安全策略管理體系。上文揭示的所有攻擊向量均可借助 Check Point 解決方案進行有效監(jiān)控和防范,包括 Check Point 電子郵件安全和協(xié)作安全解決方案。Harmony Email & Collaboration 能夠為 Microsoft 365、Google Workspace 以及所有協(xié)作和文件共享應(yīng)用提供全面保護。該解決方案專為云電子郵件環(huán)境而設(shè)計,是唯一能夠防止(而不僅僅是檢測或響應(yīng))威脅侵入收件箱的解決方案。

Harmony Endpoint 可提供最高安全級別的全面端點保護;XDR/XPR 能夠通過關(guān)聯(lián)整個安全資產(chǎn)中的事件并結(jié)合行為分析、來自 Check Point Research 和 ThreatCloud AI 的實時專有威脅情報以及第三方情報,快速識別最復(fù)雜的攻擊。

Threat Emulation 和 Check Point 網(wǎng)關(guān)可提供超越任何下一代防火墻 (NGFW) 的卓越安全防護。這些網(wǎng)關(guān)專為零日安全防護而設(shè)計,具有 60 多項創(chuàng)新安全服務(wù),是防御第五代網(wǎng)絡(luò)攻擊的最佳選擇。 同時,Check Point Research 一直在主動監(jiān)測網(wǎng)上與 Outlook 和電子郵件相關(guān)的攻擊。作為一家領(lǐng)先的安全公司,Check Point 始終致力于不斷為全球客戶開發(fā)創(chuàng)新的檢測和保護技術(shù)。

如欲深入了解這些攻擊向量,請參閱 Check Point Research 博客上的完整報告。

原創(chuàng)文章,作者:陳晨,如若轉(zhuǎn)載,請注明出處:http://m.2079x.cn/article/606638.html

陳晨陳晨管理團隊

相關(guān)推薦

發(fā)表回復(fù)

登錄后才能評論