在數字時代,人們主要通過電子郵件進行交流,因此電子郵件平臺的安全性至關重要。自從各種AI工具不斷落地以來,釣魚郵件攻擊的難度與成本均有大幅下降,因此導致此類攻擊數量與受害者損失頻創新高。在2022年,美國共計發生“商業電子郵件入侵”時間兩萬余起,造成損失近27億美元。然而僅在2023年第一季度,同類攻擊事件在美國就已發生近四萬次。在剛剛過去的2023年第三季度,我國國內企業郵箱用戶共收到釣魚郵件超8千萬封,同比激增47%,環比增幅也達23%。這些數字無疑正在警示企業IT管理者,如果對企業郵件系統的安全性疏于管理,其后果將十分嚴重。最近 Check Point Research 對 Microsoft Office 中廣泛使用的電子郵件客戶端 Outlook 進行了全面分析,揭示了三種主要攻擊向量:常見、普通和高級。通過分析典型企業環境中針對 Outlook 的各種攻擊向量,Check Point將從安全研究的角度審視日常郵件操作可能帶來的安全風險。
注:本文所述研究是在典型/默認的 Outlook + Exchange Server 環境中,并在安裝了截至 2023 年 11 月安全更新的最新 Outlook 2021(Windows 桌面版)上進行。
常見:超鏈接攻擊向量
在這種攻擊向量中,攻擊者發送包含惡意 Web 超鏈接的電子郵件。一旦點擊這些鏈接,用戶便會被定向到網絡釣魚網站,啟動瀏覽器漏洞利用,甚至觸發使用復雜技術的零日漏洞利用。雖然看似簡單,但安全風險大多來自于瀏覽器而非 Outlook 本身。Outlook 將可用性放在首位,認為對每次超鏈接點擊都進行確認是不切實際的。因此,用戶應使用可靠的瀏覽器,并謹慎防范網絡釣魚攻擊。
普通:附件攻擊向量
攻擊者會利用用戶打開電子郵件附件的正常行為。當用戶雙擊附件時,Outlook 會嘗試在 Windows 上調用該文件類型的默認關聯應用。因此,安全風險取決于附件文件類型的注冊應用的穩健性。如果文件類型被標記為“不安全”,Outlook 就會阻止它。對于未分類的文件類型,系統會提示用戶點擊兩次進行確認。因此,用戶必須謹慎行事,對于來自不可信來源的附件,切勿輕易點擊“打開”按鈕。
高級:電子郵件查看和特殊對象攻擊向量
電子郵件查看攻擊向量
當用戶在 Outlook 中查看電子郵件時,這種載體(又稱“預覽窗格”攻擊)會構成威脅。在處理 HTML 和 TNEF 等不同電子郵件格式時可能會出現漏洞。為了增強安全性,建議將 Outlook 配置為只讀純文本電子郵件,但這樣做可能會影響可用性,因為在此類純文本電子郵件中可能無法查看鏈接和圖片。
Outlook 特殊對象攻擊向量
這種高級攻擊向量會利用零日漏洞,例如 CVE-2023-23397。攻擊者可通過發送惡意“提醒”對象來入侵 Outlook,從而在用戶打開 Outlook 并連接到電子郵件服務器時觸發漏洞。值得注意的是,受害者甚至不必查看電子郵件便會觸發攻擊。這凸顯了及時進行安全更新和謹慎操作的重要性。
結論和防范措施
綜上所述,保護 Outlook 用戶需要多措并舉。用戶應避免點擊未知鏈接,謹慎打開來自不可信來源的附件,并始終確保將 Microsoft 辦公套件升級到最新版本和更新。 更為重要的是,IT決策者應該考慮將郵件系統納入整體安全策略管理體系。上文揭示的所有攻擊向量均可借助 Check Point 解決方案進行有效監控和防范,包括 Check Point 電子郵件安全和協作安全解決方案。Harmony Email & Collaboration 能夠為 Microsoft 365、Google Workspace 以及所有協作和文件共享應用提供全面保護。該解決方案專為云電子郵件環境而設計,是唯一能夠防止(而不僅僅是檢測或響應)威脅侵入收件箱的解決方案。
Harmony Endpoint 可提供最高安全級別的全面端點保護;XDR/XPR 能夠通過關聯整個安全資產中的事件并結合行為分析、來自 Check Point Research 和 ThreatCloud AI 的實時專有威脅情報以及第三方情報,快速識別最復雜的攻擊。
Threat Emulation 和 Check Point 網關可提供超越任何下一代防火墻 (NGFW) 的卓越安全防護。這些網關專為零日安全防護而設計,具有 60 多項創新安全服務,是防御第五代網絡攻擊的最佳選擇。 同時,Check Point Research 一直在主動監測網上與 Outlook 和電子郵件相關的攻擊。作為一家領先的安全公司,Check Point 始終致力于不斷為全球客戶開發創新的檢測和保護技術。
如欲深入了解這些攻擊向量,請參閱 Check Point Research 博客上的完整報告。
京公網安備 11010502049343號