1. 科技訊首頁
  2. 產(chǎn)經(jīng)

Check Point 揭示Outlook 三種攻擊向量

陳晨 ? ? 產(chǎn)經(jīng)

背景

在數(shù)字時(shí)代,人們主要通過電子郵件進(jìn)行交流,因此電子郵件平臺(tái)的安全性至關(guān)重要。自從各種AI工具不斷落地以來,釣魚郵件攻擊的難度與成本均有大幅下降,因此導(dǎo)致此類攻擊數(shù)量與受害者損失頻創(chuàng)新高。在2022年,美國共計(jì)發(fā)生“商業(yè)電子郵件入侵”時(shí)間兩萬余起,造成損失近27億美元。然而僅在2023年第一季度,同類攻擊事件在美國就已發(fā)生近四萬次。在剛剛過去的2023年第三季度,我國國內(nèi)企業(yè)郵箱用戶共收到釣魚郵件超8千萬封,同比激增47%,環(huán)比增幅也達(dá)23%。這些數(shù)字無疑正在警示企業(yè)IT管理者,如果對(duì)企業(yè)郵件系統(tǒng)的安全性疏于管理,其后果將十分嚴(yán)重。最近 Check Point Research 對(duì) Microsoft Office 中廣泛使用的電子郵件客戶端 Outlook 進(jìn)行了全面分析,揭示了三種主要攻擊向量:常見、普通和高級(jí)。通過分析典型企業(yè)環(huán)境中針對(duì) Outlook 的各種攻擊向量,Check Point將從安全研究的角度審視日常郵件操作可能帶來的安全風(fēng)險(xiǎn)。

注:本文所述研究是在典型/默認(rèn)的 Outlook + Exchange Server 環(huán)境中,并在安裝了截至 2023 年 11 月安全更新的最新 Outlook 2021(Windows 桌面版)上進(jìn)行。

常見:超鏈接攻擊向量

在這種攻擊向量中,攻擊者發(fā)送包含惡意 Web 超鏈接的電子郵件。一旦點(diǎn)擊這些鏈接,用戶便會(huì)被定向到網(wǎng)絡(luò)釣魚網(wǎng)站,啟動(dòng)瀏覽器漏洞利用,甚至觸發(fā)使用復(fù)雜技術(shù)的零日漏洞利用。雖然看似簡單,但安全風(fēng)險(xiǎn)大多來自于瀏覽器而非 Outlook 本身。Outlook 將可用性放在首位,認(rèn)為對(duì)每次超鏈接點(diǎn)擊都進(jìn)行確認(rèn)是不切實(shí)際的。因此,用戶應(yīng)使用可靠的瀏覽器,并謹(jǐn)慎防范網(wǎng)絡(luò)釣魚攻擊。

普通:附件攻擊向量

攻擊者會(huì)利用用戶打開電子郵件附件的正常行為。當(dāng)用戶雙擊附件時(shí),Outlook 會(huì)嘗試在 Windows 上調(diào)用該文件類型的默認(rèn)關(guān)聯(lián)應(yīng)用。因此,安全風(fēng)險(xiǎn)取決于附件文件類型的注冊(cè)應(yīng)用的穩(wěn)健性。如果文件類型被標(biāo)記為“不安全”,Outlook 就會(huì)阻止它。對(duì)于未分類的文件類型,系統(tǒng)會(huì)提示用戶點(diǎn)擊兩次進(jìn)行確認(rèn)。因此,用戶必須謹(jǐn)慎行事,對(duì)于來自不可信來源的附件,切勿輕易點(diǎn)擊“打開”按鈕。

高級(jí):電子郵件查看和特殊對(duì)象攻擊向量

電子郵件查看攻擊向量

當(dāng)用戶在 Outlook 中查看電子郵件時(shí),這種載體(又稱“預(yù)覽窗格”攻擊)會(huì)構(gòu)成威脅。在處理 HTML 和 TNEF 等不同電子郵件格式時(shí)可能會(huì)出現(xiàn)漏洞。為了增強(qiáng)安全性,建議將 Outlook 配置為只讀純文本電子郵件,但這樣做可能會(huì)影響可用性,因?yàn)樵诖祟惣兾谋倦娮余]件中可能無法查看鏈接和圖片。

Outlook 特殊對(duì)象攻擊向量

這種高級(jí)攻擊向量會(huì)利用零日漏洞,例如 CVE-2023-23397。攻擊者可通過發(fā)送惡意“提醒”對(duì)象來入侵 Outlook,從而在用戶打開 Outlook 并連接到電子郵件服務(wù)器時(shí)觸發(fā)漏洞。值得注意的是,受害者甚至不必查看電子郵件便會(huì)觸發(fā)攻擊。這凸顯了及時(shí)進(jìn)行安全更新和謹(jǐn)慎操作的重要性。

結(jié)論和防范措施

綜上所述,保護(hù) Outlook 用戶需要多措并舉。用戶應(yīng)避免點(diǎn)擊未知鏈接,謹(jǐn)慎打開來自不可信來源的附件,并始終確保將 Microsoft 辦公套件升級(jí)到最新版本和更新。 更為重要的是,IT決策者應(yīng)該考慮將郵件系統(tǒng)納入整體安全策略管理體系。上文揭示的所有攻擊向量均可借助 Check Point 解決方案進(jìn)行有效監(jiān)控和防范,包括 Check Point 電子郵件安全和協(xié)作安全解決方案。Harmony Email & Collaboration 能夠?yàn)?Microsoft 365、Google Workspace 以及所有協(xié)作和文件共享應(yīng)用提供全面保護(hù)。該解決方案專為云電子郵件環(huán)境而設(shè)計(jì),是唯一能夠防止(而不僅僅是檢測或響應(yīng))威脅侵入收件箱的解決方案。

Harmony Endpoint 可提供最高安全級(jí)別的全面端點(diǎn)保護(hù);XDR/XPR 能夠通過關(guān)聯(lián)整個(gè)安全資產(chǎn)中的事件并結(jié)合行為分析、來自 Check Point Research 和 ThreatCloud AI 的實(shí)時(shí)專有威脅情報(bào)以及第三方情報(bào),快速識(shí)別最復(fù)雜的攻擊。

Threat Emulation 和 Check Point 網(wǎng)關(guān)可提供超越任何下一代防火墻 (NGFW) 的卓越安全防護(hù)。這些網(wǎng)關(guān)專為零日安全防護(hù)而設(shè)計(jì),具有 60 多項(xiàng)創(chuàng)新安全服務(wù),是防御第五代網(wǎng)絡(luò)攻擊的最佳選擇。 同時(shí),Check Point Research 一直在主動(dòng)監(jiān)測網(wǎng)上與 Outlook 和電子郵件相關(guān)的攻擊。作為一家領(lǐng)先的安全公司,Check Point 始終致力于不斷為全球客戶開發(fā)創(chuàng)新的檢測和保護(hù)技術(shù)。

如欲深入了解這些攻擊向量,請(qǐng)參閱 Check Point Research 博客上的完整報(bào)告。

原創(chuàng)文章,作者:陳晨,如若轉(zhuǎn)載,請(qǐng)注明出處:http://2079x.cn/article/606638.html

陳晨陳晨管理團(tuán)隊(duì)

相關(guān)推薦

發(fā)表回復(fù)

登錄后才能評(píng)論