在最近的网络安全新闻中,一篇关于恶意攻击者如何滥用微软 Office 可执行文件下载恶意软件的文章受到了广泛关注。除了这则新闻之外,还有其他几则关于微软数据库黑客或微软Exchange黑客的报道。
这些新闻强调了为什么放弃微软Outlook而选择更安全的电子邮件服务变得越来越有吸引力。
攻击者可滥用微软Office可执行文件下载恶意软件
文章讨论了 Windows 操作系统中的合法二进制文件和脚本(被称为 LOLBAS(Living-off-the-Land Binaries and Scripts))如何被攻击者恶意利用。文章特别提到,微软 Office 可执行文件(包括 Outlook、Publisher 和 Access 的可执行文件)可能被攻击者滥用来下载和运行恶意软件。
LOLBAS 项目是一个开源项目,它汇编了这些合法工具的列表,恶意攻击者可以滥用这些工具进行后剥削活动,使他们能够在不触发防御机制的情况下下载和执行有效载荷。
该项目目前列出了 150 多个与 Windows 相关的二进制文件、库和脚本,它们可以帮助攻击者执行恶意文件或绕过安全措施。
对 LOLBAS 威胁的持续研究
来自 Pentera 的安全研究员 Nir Chako 对这一领域进行了研究,手动测试了各种 Microsoft Office 可执行文件。他发现有三个可执行文件—MsoHtmEd.exe、MSPub.exe 和 ProtocolHandler.exe,可以被用来下载第三方文件,符合 LOLBAS 的标准。
通过自动化,Chako 发现了更多下载程序,使 LOLBAS 官方下载程序列表增加了近 30%。Chako 还发现了其他文件,这些文件不仅来自微软,还来自 JetBrains(如 elevator.exe)和 Git(如 mkpasswd.exe)等开发商,它们都符合 LOLBAS 标准,有可能被滥用于侦查等恶意目的。
虽然其中一些可执行文件已被证实可从远程服务器下载有效载荷,但由于提交过程中的技术错误,其他可执行文件仍有待列入 LOLBAS 列表。
Chako 的研究旨在提高人们对 LOLBAS 威胁的认识,帮助防御者制定预防或减轻网络攻击的策略。Pentera 发表了一篇论文,详细介绍了研究人员、红队和防御人员如何识别新的 LOLBAS 文件。
Microsoft Outlook 中的这些风险不容小觑,它们再次表明,注重安全和隐私的电子邮件服务才是更好的选择。
确保电子邮件通信安全
使用Tutanota电子邮件客户端可以主动降低与使用微软Outlook和其他大型科技公司电子邮件服务相关的风险。Tutanota采用了强大的安全措施,可以大大增强用户对各种漏洞和潜在攻击的防护能力。其中一个关键优势在于Tutanota的端到端加密技术,它能确保只有目标收件人才能访问邮件内容,使恶意行为者无法拦截或篡改邮件。
与主流供应商不同,Tutanota坚持严格的零访问架构,这意味着即使是我们也无法访问用户邮件的解密内容。
Tutanota对开源软件的重视和对透明度的承诺进一步增强了其安全性。Tutanota客户端的开源特性允许安全专家仔细检查代码中的漏洞,有助于确保及时发现并解决任何潜在问题。这种以社区为导向的方法促进了强大的问责和持续改进生态系统,降低了潜在攻击者利用隐藏漏洞的可能性。
从本质上讲,Tutanota对加密、隐私和开源开发的重视创造了一个更安全的电子邮件环境,降低了与微软Outlook等传统大型技术电子邮件服务相关的风险。
Tutanota为个人创建安全性更高的新电子邮件账户提供了理想的解决方案。在建立专业电子邮件时,选择Tutanota的服务是最安全的选择。它的端到端加密技术可确保敏感的商业通信保持机密,防止未经授权的访问。通过Tutanota创建专业电子邮件账户,用户可以保护自己的数字通信渠道不被恶意攻击者利用,从而降低网络安全风险。