Microsoft Outlook存在漏洞，黑客可以轻易窃取您的Windows密码

Microsoft Outlook漏洞（CVE-2018-0950）允许攻击者窃取敏感信息，包括用户的Windows登录凭据，只需说服受害者使用Microsoft Outlook预览电子邮件，而无需任何额外的用户交互。

CERT Coordination Center（CERT/CC）的威尔·多尔曼发现了该漏洞，该漏洞存在于预览RTF（富文本格式）电子邮件并自动启动SMB连接时，Microsoft Outlook呈现远程托管OLE内容的方式中。
远程攻击者可以通过向目标受害者发送RTF电子邮件来利用此漏洞进行攻击，该电子邮件包含从攻击者控制的SMB服务器加载的远程托管图像文件（OLE对象）。

由于Microsoft Outlook会自动呈现OLE内容，因此它将使用单点登录（SSO）通过SMB协议启动与攻击者控制的远程服务器的自动身份验证，并移交受害者的用户名和NTLMv2哈希版本的密码，从而可能允许攻击者访问受害者的系统。
“这可能会泄露用户的IP地址、域名、用户名、主机名和密码哈希。如果用户的密码不够复杂，那么攻击者可能能够在短时间内破解密码，”US-CERT解释道。

如果您正在思考，为什么Windows PC会自动将您的凭据移交给攻击者的SMB服务器？
这就是通过服务器消息块（SMB）协议的身份验证与NTLM质询/响应身份验证机制相结合的工作方式，如下图所述。

Dorman在2016年11月向微软报告了该漏洞，为了修补该问题，该公司在2018年4月的补丁周二更新中发布了一个不完整的补丁，这几乎是18个月的报道。
该安全补丁仅防止Outlook在预览RTF电子邮件时自动启动SMB连接，但研究人员指出，该修复程序并不能防止所有SMB攻击。

Dorman说：“重要的是要意识到，即使有了这个补丁，用户仍然只需点击一下就可以成为上述攻击类型的受害者”。例如，如果电子邮件具有以“\\”开头的UNC样式的链接，单击该链接将启动到指定服务器的SMB连接
如果您已经安装了最新的Microsoft修补程序更新，这很好，但攻击者仍然可以利用此漏洞。因此，建议Windows用户，尤其是公司的网络管理员，遵循以下提到的步骤来缓解此漏洞。

• 如果还没有，请为CVE-2018-0950应用Microsoft更新。
• 用于传入和传出SMB会话的块特定端口（445/tcp、137/tcp、139/tcp，以及137/udp和139/udp）。
• 阻止NT LAN Manager（NTLM）单点登录（SSO）身份验证。
• 始终使用复杂的密码，即使其哈希值被盗，也无法轻易破解（您可以使用密码管理器来处理此任务）。
• 最重要的是，不要点击电子邮件中提供的可疑链接。