點開即中招！某知名郵箱客戶端曝0day漏洞，立即采取措施！

一個被政府、高校、企業等機構廣泛使用的郵件系統，Windows客戶端出現安全漏洞，會發生什么？

2022年7月25日，微步在線捕獲到一個 Windows 版 Coremail 郵件客戶端的 RCE（遠程代碼執行）漏洞在野利用（“在野利用”是指漏洞在沒有發布補丁的情況下，就有人利用該漏洞搞事情）。

經分析驗證，攻擊者精心構造一封郵件發送給受害者，里面包含一個特殊的附件，當受害者在特定客戶端上打開郵件，惡意附件就會自動運行。

然后，攻擊者就可以在受害者的機器上遠程執行任意代碼，比如植入后門、運行木馬、竊取數據等進一步操作，甚至完全控制受害者主機。

全程不需要受害者點開任何郵件中的鏈接或附件，打開郵件即中招。

以下是微步在線的安全研究人員對該漏洞的復現演示（彈出計算器意味著攻擊者取得相應的操作權限）：

據Coremail官網介紹，Coremail 是中國第一套中文郵件系統，被政府 、高校、企業等機構廣泛使用，憑借超過23年來的優質服務，積累了超過20000家企業客戶，目前是國內擁有郵箱用戶最多的郵件系統，覆蓋終端用戶超過10億。

受此漏洞影響的版本為：

Coremail Air 郵件客戶端 3.0.5版本及以上，3.1.0.303（不含）以下版本。

“世上不存在絕對安全、沒有漏洞的系統”，只要盡快發現并修補，便能及時止損，控制影響。

因此，在發現漏洞后，微步在線第一時間聯系Coremail并協助修復。在本文發布之前，Coremail已發布相應的修復補丁以及新版客戶端。

處置建議

緊急臨時緩解措施：

• 暫停使用受此漏洞影響的 Coremail 客戶端版本，如需使用，可臨時改用網頁版等其他平臺客戶端。
• 如果企業部署了桌面管理系統，可以限制Coremail客戶端執行包括exe、bat、ps1、vbs等可執行文件/腳本。
• 微步在線旗下的終端檢測與響應平臺 OneEDR 已支持檢測及防護該漏洞。

官方修復方案：

Coremail官方已經發布該漏洞相關修復補丁，我們建議盡快將Window版Coremail客戶端更新至最新版。

附上Coremail官方提供的下載鏈接如下：

https://lunkr.cn/dl?p=pc

https://lunkr.cn/dl?p=mail&arch_type=win64.exe

時間線

2022.07.25

● 微步在線捕獲到漏洞在野利用

2022.07.26

● 微步在線分析確認并向相關廠商報告

2022.07.26

● 微步在線終端檢測與響應平臺 OneEDR 支持檢測與防護相關漏洞

2022.07.26

● 廠商發布官方補丁通告

2022.07.26

● 微步情報局發布漏洞通告

· END ·