微軟Outlook曝出漏洞容易被盜密碼

本月微軟的系統更新補丁包中有一個Outlook漏洞補丁，這個漏洞終於在提交18個月後終於修復了。

該漏洞編號為CVE-2018-0950，黑客利用它後，用戶只要預覽一封郵件，就能盜取計算機中的敏感信息，包括系統用戶的登錄信息。

該漏洞由CERT協調中心的Will Dormann發現，在Outlook中只要點擊一封帶有富文本（RTF）附件的郵件，就會觸發Outlook遠程對象連接與嵌入內容（OLE），然後自動開啟SMB連接。

因此黑客只需要向攻擊目標發送一封帶有RTF附件的郵件，其中嵌入一個帶有超鏈接的圖片，可以直接接入遠程SMB伺服器。

由於微軟Outlook默認信任嵌入式對象和超鏈接，因此點擊後會自動使用SMB協議單點登錄（SSO）遠程SMB伺服器，登錄過程中的系統用戶名和NTLMv2協議加密的密碼都被黑客獲取，這樣就能遠程登錄用戶的電腦。

整個連接過程中會暴露用戶的IP地址、域名、用戶名、電腦主機名和加密的密碼，如果用戶設置的密碼安全性不夠高，黑客僅需很短時間就能破解目標的密碼。

有人會提出疑問，為什麼計算機在遠程連接SMB伺服器的過程中會自動暴露這些隱私信息？下圖是SMB協議和NTLM加密協議的連接過程：

Will Dormann在2016年11月就已經向微軟報告了該漏洞，直到今年4月微軟才發布了一個不完整的系統補丁包。

此次的補丁包只是阻止了Outlook在預覽帶有RTF附件的郵件時，禁止自動開啟SMB連接，而系統中其他的SMB連接還是存在安全隱患。

因此這次的系統補丁只能防範富文本形式的郵件，如果郵件中帶有通用命名規則（UNC），例如「\」開頭的超鏈接，用戶點擊後還是會自動開啟SMB遠程連接。

如果已經安裝了Windows最新的系統補丁，也不要覺得已經安全了，特別是企業網管，建議按照以下步驟來防範該漏洞：

1、及時更新系統補丁CVE-2018-0950

2、禁用這些SMB連接埠：445/tcp, 137/tcp, 139/tcp, along with 137/udp and 139/udp

3、禁用NTLM單點登錄認證

4、設置足夠強壯的密碼

5、不要隨便點擊郵件中的超鏈接

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！