Outlook攻擊向量的綜合分析
介紹
Outlook是微軟Office套件中的桌面應用程序,現已成為世界上最受歡迎的應用程序之一,用于發送和接收電子郵件、安排會議等操作。從安全角度來看,該應用程序是負責將各種網絡威脅引入組織的關鍵“網關”之一。該應用程序中任何微小的安全問題都可能造成嚴重的損害,并破壞企業的整體安全性。
因此,在典型的企業環境中檢查Outlook上的攻擊向量是必要的,這也是Check Point研究團隊此項研究的初衷。研究人員以一個普通用戶的身份點擊和雙擊Outlook上的內容,來完成日常工作所需的操作,并從安全研究的角度來檢查這些操作可能帶來的安全風險。
研究重點聚焦三類攻擊向量:“明顯的”超鏈接攻擊向量,“一般的”附件攻擊向量,以及針對Outlook電子郵件閱讀和“特殊對象”的“高級”攻擊向量。
請注意,本文中討論的研究是在最新的Outlook 2021(Windows桌面版)上進行的,截至2023年11月,在典型/默認的Outlook + Exchange Server環境中已經安裝了最新的安全更新。
明顯的:超鏈接攻擊向量
1.1 一鍵單擊(ONE Single-click):Web鏈接
如果攻擊者想通過電子郵件攻擊某人,一個“明顯的”方法是攻擊者發送帶有惡意web超鏈接的電子郵件,以誘使受害者點擊這些HTML電子郵件中的鏈接。事實上,這是整個行業每天都在與之斗爭的所有網絡釣魚郵件的攻擊載體。
對于這種攻擊向量,攻擊者基本上使用電子郵件作為“橋梁”來執行基于web的攻擊,無論它們是基于社會工程的網絡釣魚攻擊,瀏覽器漏洞利用,甚至是高技術的瀏覽器零日漏洞利用。
請注意,只需點擊一下就可以在Outlook上啟動web鏈接。用戶甚至不需要額外的確認。雖然這聽起來很可怕(與我們將討論的下一個攻擊媒介相比),但安全風險并不在Outlook中,而是在瀏覽器中。如果瀏覽器足夠強大(能夠對抗瀏覽器漏洞),用戶足夠聰明(能夠對抗網絡釣魚攻擊),就不會有問題。這可能就是Outlook將“可用性”作為首要標準的原因所在;另一個原因可能是電子郵件的超鏈接太常見了,不可能讓用戶去確認每次點擊,因為那樣不僅太煩人,還耗費太多時間。
1.2 并非所有超鏈接都是web鏈接
但是,Outlook超鏈接不僅僅是web鏈接,它們可能包含其他類型的超鏈接,這些超鏈接可能也會引入安全風險。事實上,Check Point研究人員已經在這個攻擊媒介中發現了一個Outlook漏洞。然而,討論特定的漏洞并非本文的目的,在此就不贅述了。
一般的:附件攻擊向量
以下是一般的攻擊方式:攻擊者向受害者發送帶有惡意附件的電子郵件,引誘受害者打開該附件。
Outlook上的“打開附件”可能意味著兩種不同類型的操作。當用戶雙擊附件時,系統會試圖調用Windows上的默認注冊應用程序,并針對該附件文件類型來打開該應用程序中的附件;而當用戶單擊附件時,它會試圖調用已注冊的“預覽器”應用程序,并針對該附件文件類型來預覽Outlook應用程序中的附件。下面我們將詳細討論這兩者。
“附件”場景中引入的安全風險取決于該附件文件類型的注冊應用程序的安全性。如果應用程序具有足夠的健壯性和適當的安全措施,那么它對最終用戶的風險就會降低。反之,如果應用程序不安全,則對最終用戶來說風險更大。
2.1 雙擊:打開附件
如果用戶雙擊附件,Outlook將嘗試調用已注冊的應用程序,并針對附件的文件類型來打開附件。根據附件的擴展名(文件類型),可能存在以下三種情況:
2.1.1 無點擊(NO CLICK):附件的擴展名被標記為“不安全”的文件類型
Outlook無法打開附件,但可以接收。
下圖顯示了用戶收到一個“. vbs”附件,但無法打開,原因是“. vbs”文件類型被Outlook標記為“不安全”。
微軟在這里列出了Outlook上被阻止的不安全文件類型。
【圖1:Outlook上被禁用的不安全附件】
2.1.2 一次雙擊和一次單擊:附件的擴展名沒有標記為“不安全”,也沒有標記為“安全”
您可以將其視為“未分類類別”。在此場景中,將向用戶顯示一個提示對話框,要求用戶確認打開文件。
在此場景中,用戶需要執行兩次點擊才能打開附件。一次是雙擊附件;第二次是點擊提示對話框上的“打開”按鈕(不是默認按鈕)。在此之后,Windows操作系統上該特定文件類型的默認/注冊應用程序將用于打開附件。
Check Point研究人員最新披露了一種有趣的攻擊技術:攻擊者通過電子郵件傳遞.accdb漏洞利用,經由80/443等通用端口泄露NTLM信息;這也屬于這種情況。
在現實世界中,這種“未分類”場景中有很多文件類型。對于普通的Outlook用戶來說,不可能知道自己打開的每個應用程序/附件是否足夠安全。因此,我們建議用戶對這種攻擊媒介保持謹慎:不要輕易點擊來自不受信附加的“打開”按鈕。
對于應用程序開發人員來說,盡管這種情況在現實世界中仍然很少見,但一個很好的建議是遵循web標記(mark -of- web, MotW)。在這種情況下,當附件在第三方應用程序打開之前位于Outlook臨時目錄中時,它會被標記為“來自互聯網”。因此,如果第三方應用程序檢查并遵守MotW——例如在檢測到文件具有MotW標志時限制功能和/或在應用程序沙箱中打開應用程序——這將是一個非常好的安全實踐。
(*知識說明:在默認的Outlook + Exchange Server環境中,MotW僅為來自組織域以外的電子郵件地址的附件設置,而不用于組織內部的電子郵件地址。因此,MotW對于開發人員平衡應用程序的安全性和可用性非常有用。)
例如,在2023年2月的“補丁星期二”,微軟通過CVE-2023-21715為Microsoft 365應用程序Microsoft Publisher發布了一個“深度防御”功能。該更新所做的只是在.pub文件具有MotW時完全禁用Publisher上的宏。根據研究結果顯示,在“pre - CVE-2023-21715”環境中,當Publisher打開嵌入宏的.pub文件時,如果.pub文件具有MotW,則會向最終用戶提供以下警告對話框。
【圖2:在“pre - CVE-2023-21715”環境下,當.pub文件有MotW時,用戶仍然可以選擇“啟用宏”】
在“post CVE-2023-21715”環境下,對話框將變為以下形式:
【圖3:在“post CVE-2023-21715”環境下,當.pub文件具有MotW時,“啟用宏”按鈕被刪除】
請注意不同之處,當文件附帶MotW(來自Internet)時,用戶現在沒有選擇“在.pub文件中運行宏”的選項,這使其對最終用戶來說是安全的。
2.1.3 一次雙擊:附件的擴展名被標記為“安全”文件類型
在這個場景中,當用戶雙擊附件時,將直接打開附件。
由于在此場景中,在打開附件之前不需要對用戶進行額外的確認,因此只需雙擊即可調用應用程序打開附件。應用程序開發人員應該非常小心地將他們的文件類型/應用程序注冊到這個類別中。
一個強烈推薦的安全加固措施是為應用程序開發一個應用程序沙箱,并在其中處理以下文件:如Word、Excel和PowerPoint的“受保護視圖”模式。也就是說,Word(.docx、.doc、.rtf等)、Excel (.xlsx、.xls等)和PowerPoint(.pptx、.ppt等)文件類型,以及最新的Adobe Acrobat Reader(測試版本為2023.006.20360)中流行的PDF文件類型都注冊在這個“安全”類別中。
【圖4:從外部電子郵件打開文檔時,Word在受保護視圖模式下運行(進程完整性級別為“AppContainer”)】
Word/Excel/PowerPoint上的受保護視圖模式不是典型的應用程序沙箱。事實上,除了在沙盒進程中處理文件之外,它還限制了應用程序在受保護視圖模式下運行時可能運行的功能。例如,激活保護視圖模式時,所有與OLE相關的特性都將被禁用。因此,從安全的角度來看,Word/Excel/PowerPoint上的保護模式比典型的應用程序沙箱要強大得多。
2.2 單擊:預覽附件
如果用戶單擊附件(與雙擊相比),Outlook將嘗試調用已注冊的“預覽器”應用程序,并針對附件的文件類型在Outlook中“預覽”附件。盡管它被稱為“預覽”,但從技術角度來看,附件文件仍然是打開和處理的。不同的是,預覽時,第三方應用作為COM服務器在后臺運行,附件內容顯示在Outlook窗口中。如前所述,當通過雙擊“打開”附件時,第三方應用程序直接運行,內容顯示在應用程序的窗口中。
根據附件的擴展名(文件類型),預覽附件時可能存在以下四種情況:
2.2.1 無預覽:附件的擴展名被標記為“不安全”
這與我們在“雙擊”場景的“無點擊”中討論的情況相同。由于附件是完全禁用的,所以沒有打開或預覽選項。
2.2.2 無預覽:沒有注冊的擴展名預覽應用程序
事實上,我們看到的大多數文件類型都屬于這一類,因為大多數處理這些文件類型的應用程序都沒有注冊為Outlook預覽應用程序。下圖當用戶試圖通過單擊預覽.wmv文件(媒體文件類型),但沒有該文件類型的注冊應用程序時,則顯示錯誤消息。
【圖5:在Outlook上單擊嘗試預覽.wmv附件,但收到錯誤消息】
2.2.3 兩次單擊:預覽應用程序已注冊,但需要額外的“確認”才能預覽內容
有一些文件類型,它們的預覽應用程序已經注冊,但是Outlook對預覽附件的安全性不太有信心,所以Outlook會給用戶一個額外的警告對話框——這就需要再單擊一次——來確認預覽附件。因此,在此場景中有兩次單擊,一次用于單擊附件,另一次用于單擊警告窗口上的“預覽文件(Preview file)”按鈕。
下圖展示了在操作系統上安裝Adobe Acrobat Reader時預覽.pdf附件(一種流行的文件類型)。當用戶單擊附件時,Outlook詢問用戶是否要繼續預覽。此外,還有一個選項讓用戶選擇是否他/她每次都要確認此文件類型。
【圖6:在Outlook上單擊預覽.pdf附件的示例】
請注意,在后臺,PDF附件是在Adobe Acrobat Reader沙盒中處理的(完整性級別為“Low”的“Acrobat.exe”進程之一)。Adobe Acrobat Reader進程由Windows進程“prevhost.exe”啟動。如下圖所示。
【圖7:當用戶在Outlook上預覽PDF附件時,Adobe Acrobat Reader在后臺運行,并在沙盒環境中處理附件】
(*知識說明:在Windows中,標準/默認用戶以“中等”完整性級別啟動進程,因此如果一個進程以較低的完整性級別(“Low”或“AppContainer”)運行,通常表明該進程在受限制的應用程序沙箱中運行。)
2.2.4 一次單擊:預覽應用程序注冊并標記為“安全”
這個場景是讀取附件內容的最流暢的方式。當用戶只需單擊附件時,附件將被預覽,其內容將顯示在Outlook窗口中。
由于過程非常順利,因此可能引入的潛在安全風險很高。因此,從安全的角度來看,只有具有強大安全增強功能的應用程序才應該注冊到這個“預覽安全列表”中。
例如,Word、Excel和PowerPoint文件類型都在此列表中。下圖是一個在Outlook上預覽.docx附件的示例。
【圖8:在Outlook上單擊預覽.docx附件的示例】
并且,在Outlook上預覽Word、Excel或PowerPoint附件時,相應的應用程序始終以安全性強的Protected View模式運行,如下圖所示。所以它在保護用戶的同時也提供了很好的可用性。
【圖9:當用戶在Outlook上預覽Word附件時,Microsoft Word在后臺運行并以受保護視圖模式處理附件】
值得注意的是,它與之前討論的Adobe Acrobat Reader場景有點不同,沙箱中的“WINWORD.EXE”進程直接通過Outlook進程啟動,而不是通過“prehost.exe”,并且只有一個“WINWORD.EXE”進程,而在Adobe Acrobat Reader場景中,有兩個“Acrobat.exe”進程。
高級的:電子郵件閱讀和特殊對象攻擊向量
3.1 電子郵件閱讀攻擊向量
該攻擊向量適用于只要受害者在Outlook上閱讀電子郵件就會觸發安全問題的場景。所以這是一個非常強大的攻擊媒介。
它通常被稱為安全領域的“預覽窗格”(Preview Pane)攻擊向量,特別是針對Microsoft安全更新頁面。例如,下圖是微軟已修補的一個漏洞,當用戶在Outlook上閱讀電子郵件時就可能會觸發,但被稱為“預覽窗格”攻擊向量。
【圖10:典型的微軟安全更新網頁,其中包含一個可能由“預覽窗格”觸發的漏洞】
事實上,正如有人指出的那樣,這是一個令人困惑的名字。無論如何,當提及Outlook“預覽窗格”攻擊載體時,我們可以假設只要用戶在Outlook上閱讀電子郵件,這個漏洞就可能被觸發。
這存在于Outlook處理電子郵件或與電子郵件一起發送的其他對象的核心功能中。從漏洞研究的角度來看,當Outlook解析或處理電子郵件格式時一旦存在漏洞,通常就會發生這種情況。Outlook支持三種類型的電子郵件格式:純文本電子郵件格式、HTML電子郵件格式和TNEF電子郵件格式(通常稱為“Outlook Rich Text”格式)。HTML和TNEF是復雜的格式,因此它們會產生更多的漏洞,特別是對于二進制格式的TNEF。錯誤類型可能從內存損壞到邏輯錯誤不等。
下圖是TNEF格式電子郵件的一個示例,注意字符串“Content-Type: application/ms-tnef”,它指定該電子郵件遵循TNEF格式。
【圖11:典型TNEF格式電子郵件的內容】
從歷史上看,在Outlook電子郵件讀取攻擊向量中發現了許多漏洞,但有效的漏洞很少。這是因為在Outlook中尋找腳本環境或由Outlook觸發腳本環境不是一件容易的事情,但仍然可能發生一些失誤。
例如,2015年,研究人員報告了Outlook中的一個邏輯錯誤,稱為“BadWinmail”,該錯誤允許通過OLE機制運行嵌入TNEF格式的任何Flash漏洞(當時,Windows 8/10默認安裝Flash)。只要受害者在Outlook上閱讀電子郵件,就可以實現任意和可靠的代碼執行,甚至無需點擊任何東西,所以這是一個非常強大的零日漏洞。
3.2 Outlook特殊對象攻擊向量
對于上述的Outlook預覽窗格(電子郵件閱讀)攻擊向量,雖然它已經非常強大,但仍需受害者閱讀電子郵件才會觸發。然而,在另一種更先進的攻擊場景中,甚至無需受害者閱讀電子郵件,只要受害者打開Outlook并從電子郵件服務器接收電子郵件,他/她就會被攻破。這就是我們稱之為“特殊對象”的攻擊向量。
以下是一個現實世界的例子,在2023年3月,微軟披露他們檢測到一個威脅參與者使用Outlook中的零日漏洞(CVE-2023-23397)攻擊烏克蘭組織。該零日漏洞允許本地Windows將(Net)NTLM憑據信息泄露到攻擊者控制的服務器。詳細地說,根本原因是Outlook處理來自攻擊者發送的所謂“提醒”對象時的邏輯漏洞。請注意,這種攻擊甚至不需要受害者在Outlook上閱讀電子郵件——只要受害者打開Outlook并連接到電子郵件服務器,它就會自動觸發。
比較每個場景所需的用戶交互性
現在我們已經審查了Outlook上的所有攻擊向量,比較它們中的每一個將是有趣和有價值的,可以幫助組織了解攻擊場景可用于提供漏洞利用的容易程度(或困難程度)。為此,研究人員假設了攻擊者的位置,并利用Outlook作為“交付方法”將一個漏洞“交付”到目標應用程序中。
研究人員使用分數來標記攻擊場景所需的用戶交互性(或者,交付漏洞利用的難度)。例如,假設他們有一個針對Microsoft Access(一個應用程序通常與Outlook一起安裝,作為Office套件的一部分)的零日漏洞,他們需要使用Outlook來提供Access漏洞。研究人員測試過,當Microsoft Access安裝在受害者的機器上時,.accdb附件將落在場景2.1.2中——附件的擴展名沒有標記為“不安全”,也沒有標記為“安全”。正如我們前面所討論的,這將需要一次雙擊和一次單擊。
如果我們將一次單擊的得分設置為1.0,因為執行一次雙擊比執行一次單擊要困難一些,那么我們可以將執行一次雙擊的得分設置為1.2(與單擊相比,加上0.2分)。動作越難,得分越高。
因此,對于上述2.1.2場景,總分為1.2(一次雙擊)+ 1.0(一次單擊)= 2.2。
使用這種方法,我們可以得到下表。
場景 | 描述 | 用戶交互性 | 得分 |
1.1 | 郵件正文中的Web鏈接 | 一次單擊 | 1.0 |
1.2 | 郵件正文中的其他超鏈接 | 一次單擊 | 1.0 |
2.1.1 | 第三方應用打開附件,文件類型標記為“不安全” | 無 | 無 |
2.1.2 | 第三方應用打開附件,文件類型未標記為“不安全”,也未標記為“安全” | 一次雙擊+一次單擊 | 2.2 |
2.1.3 | 第三方應用打開附件,文件類型標記為“安全” | 一次雙擊 | 1.2 |
2.2.1 | Outlook中預覽的附件,文件類型標記為“不安全” | 無 | 無 |
2.2.2 | Outlook中預覽的附件,沒有注冊的擴展名預覽應用程序 | 無 | 無 |
2.2.3 | 在Outlook中預覽的附件,已注冊預覽器,但未標記為安全 | 兩次單擊 | 2.0 |
2.2.4 | 附件在Outlook中預覽,已注冊預覽器并標記為安全 | 一次單擊 | 1.0 |
3.1 | 電子郵件閱讀/預覽窗格攻擊向量 | 沒有點擊,只要閱讀電子郵件即可 | 0.2 |
3.2 | 其他Outlook特護對象利用 | 沒有點擊,只接收郵件即可 | 0 |
【表1:針對Outlook上各種攻擊場景的評分系統】
正如上表所見,研究人員將電子郵件閱讀/預覽窗格攻擊向量的得分設置為0.2(場景3.1),因為與場景3.2(特殊對象利用)相比,它需要更多的用戶交互性。對于特殊對象利用,研究人員將得分設置為0,因為這是攻擊者的完美場景。
從表中我們可以發現,對于攻擊者來說,最具挑戰性的場景是場景2.1.2——附件的擴展名既沒有被標記為“不安全”,也沒有被標記為“安全”,得分高達2.2。最完美的一個是場景3.2——Outlook特殊對象利用(0分),或者場景3.1——電子郵件閱讀攻擊向量(0.2分)。
然而,需要注意的是,此處只是比較用戶交互性;這有一個很大的先決條件,那就是要為目標應用開發一個有效的漏洞。事實上,大多數時候,當得分較低時(很容易被利用),為目標應用尋找和開發一個有效的漏洞的難度就會很高。
例如,對于web瀏覽器漏洞,得分很低(1.0),這意味著相對容易交付漏洞,但發現和開發針對現代瀏覽器(如Google Chrome)的有效漏洞是很難的(因為攻擊者需要繞過所有現代利用緩解措施)。因此,從防御的角度來看,Outlook郵件中網頁鏈接的風險對普通用戶來說并非完全不可接受。
再舉一個例子,對于場景2.1.3(雙擊打開附件),如果我們假設攻擊者有一個Word漏洞,可以在正常模式下工作,而不是在Microsoft Word的“受保護視圖”模式下工作——事實上,這是最常見的基于Word的攻擊。如果攻擊者(從外部來源)將漏洞利用作為電子郵件附件發送,為了獲得成功的利用,受害者不僅需要在這種情況下執行一次雙擊,還需要在Microsoft Word上執行一次額外的單擊(用于“啟用編輯”按鈕,見下圖),以退出非常嚴格的“受保護視圖”(Protected View)模式。因此,如果我們考慮完整的攻擊鏈,則交付典型的基于word的漏洞利用總共需要兩次用戶點擊。
【圖12:用戶需要點擊“啟用編輯”按鈕退出Office受保護視圖模式】
因此,當我們評估通過Outlook攻擊向量提供的漏洞利用的風險時,需要評估全局——不僅需要考慮本文討論的Outlook攻擊場景,還需要考慮漏洞利用本身,包括開發漏洞利用的難度。
結語
在本文中,我們研究了現代Outlook中的各種攻擊向量,并比較了攻擊者使用Outlook交付漏洞利用時每種場景所需的用戶交互性。研究人員以普通Outlook用戶的身份,使用真實世界的例子,以及自身的尖端漏洞研究技術,對這些場景進行了全面分析,希望本文能夠幫助安全行業深入了解Outlook可能帶來的安全威脅。
原文鏈接:
