背景
在数字时代,人们主要通过电子邮件进行交流,因此电子邮件平台的安全性至关重要。自从各种AI工具不断落地以来,钓鱼邮件攻击的难度与成本均有大幅下降,因此导致此类攻击数量与受害者损失频创新高。在 2022 年,美国共计发生“商业电子邮件入侵”时间两万余起,造成损失近 27 亿美元。然而仅在 2023 年第 一季度,同类攻击事件在美国就已发生近四万次。在刚刚过去的 2023 年第三季度,我国国内企业邮箱用户共收到钓鱼邮件超 8 千万封,同比激增47%,环比增幅也达23%。这些数字无疑正在警示企业IT管理者,如果对企业邮件系统的安全性疏于管理,其后果将十分严重。最近 Check Point Research 对 Microsoft Office 中广泛使用的电子邮件客户端 Outlook 进行了全面分析,揭示了三种主要攻击向量:常见、普通和高 级。通过分析典型企业环境中针对 Outlook 的各种攻击向量,Check Point将从安全研究的角度审视日常邮件操作可能带来的安全风险。
注:本文所述研究是在典型/默认的 Outlook + Exchange Server 环境中,并在安装了截至 2023 年 11 月安全更新的最 新 Outlook 2021(Windows 桌面版)上进行。
常见:超链接攻击向量
在这种攻击向量中,攻击者发送包含恶意 Web 超链接的电子邮件。一旦点击这些链接,用户便会被定向到网络钓鱼网站,启动浏览器漏洞利用,甚至触发使用复杂技术的零日漏洞利用。虽然看似简单,但安全风险大多来自于浏览器而非 Outlook 本身。Outlook 将可用性放在首位,认为对每次超链接点击都进行确认是不切实际的。因此,用户应使用可靠的浏览器,并谨慎防范网络钓鱼攻击。
普通:附件攻击向量
攻击者会利用用户打开电子邮件附件的正常行为。当用户双击附件时,Outlook 会尝试在 Windows 上调用该文件类型的默认关联应用。因此,安全风险取决于附件文件类型的注册应用的稳健性。如果文件类型被标记为“不安全”,Outlook 就会阻止它。对于未分类的文件类型,系统会提示用户点击两次进行确认。因此,用户必须谨慎行事,对于来自不可信来源的附件,切勿轻易点击“打开”按钮。
高 级:电子邮件查看和特殊对象攻击向量
电子邮件查看攻击向量
当用户在 Outlook 中查看电子邮件时,这种载体(又称“预览窗格”攻击)会构成威胁。在处理 HTML 和 TNEF 等不同电子邮件格式时可能会出现漏洞。为了增强安全性,建议将 Outlook 配置为只读纯文本电子邮件,但这样做可能会影响可用性,因为在此类纯文本电子邮件中可能无法查看链接和图片。
Outlook 特殊对象攻击向量
这种高 级攻击向量会利用零日漏洞,例如 CVE-2023-23397。攻击者可通过发送恶意“提醒”对象来入侵 Outlook,从而在用户打开 Outlook 并连接到电子邮件服务器时触发漏洞。值得注意的是,受害者甚至不必查看电子邮件便会触发攻击。这凸显了及时进行安全更新和谨慎操作的重要性。
结论和防范措施
综上所述,保护 Outlook 用户需要多措并举。用户应避免点击未知链接,谨慎打开来自不可信来源的附件,并始终确保将 Microsoft 办公套件升级到最 新版本和更新。 更为重要的是,IT决策者应该考虑将邮件系统纳入整体安全策略管理体系。上文揭示的所有攻击向量均可借助 Check Point 解决方案进行有效监控和防范,包括 Check Point 电子邮件安全和协作安全解决方案。Harmony Email & Collaboration 能够为 Microsoft 365、Google Workspace 以及所有协作和文件共享应用提供全面保护。该解决方案专为云电子邮件环境而设计,是唯 一能够防止(而不仅仅是检测或响应)威胁侵入收件箱的解决方案。
Harmony Endpoint 可提供最 高安全级别的全面端点保护;XDR/XPR 能够通过关联整个安全资产中的事件并结合行为分析、来自 Check Point Research 和 ThreatCloud AI 的实时专有威胁情报以及第三方情报,快速识别最复杂的攻击。
Threat Emulation 和 Check Point 网关可提供超越任何下一代防火墙 (NGFW) 的卓越安全防护。这些网关专为零日安全防护而设计,具有 60 多项创新安全服务,是防御第五代网络攻击的好选择。 同时,Check Point Research 一直在主动监测网上与 Outlook 和电子邮件相关的攻击。作为一家领先的安全公司,Check Point 始终致力于不断为全球客户开发创新的检测和保护技术。
如欲深入了解这些攻击向量,请参阅 Check Point Research 博客上的完整报告。