CVE-2023-35311

Microsoft Outlook

ВЕРОЯТНОСТЬ 0.5%
Дата обнаружения

2023-07-11

Официальное описание

Microsoft Outlook contains a security feature bypass vulnerability that allows an attacker to bypass the Microsoft Outlook Security Notice prompt.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-35311 представляет собой уязвимость обхода функций безопасности (Security Feature Bypass) в Microsoft Outlook. Злоумышленник может создать специально подготовленную ссылку, которая при нажатии пользователем подавляет стандартное предупреждение системы безопасности Outlook (Security Notice prompt).

Основная опасность заключается в том, что уязвимость позволяет инициировать автоматический переход по вредоносным URL-адресам или выполнение действий, которые в нормальных условиях требуют подтверждения пользователя. Это часто используется в фишинговых атаках для доставки полезной нагрузки или кражи учетных данных через протоколы, отличные от HTTP (например, через SMB для захвата NTLM-хэшей).

Как исправить

Основным методом устранения уязвимости является установка официальных обновлений безопасности от Microsoft, выпущенных в рамках "Patch Tuesday" в июле 2023 года.

  1. Для индивидуальных пользователей: Запустите Outlook, перейдите в меню Файл -> Учетная запись Office -> Параметры обновления -> Обновить сейчас.

  2. Для системных администраторов (PowerShell): Если используется управление через Microsoft Endpoint Configuration Manager (MECM) или WSUS, необходимо одобрить и развернуть соответствующие KB для установленной версии Office. Проверить наличие установленного патча можно через PowerShell:

Get-HotFix | Where-Object { $_.HotFixID -match "KB5002435" -or $_.HotFixID -match "KB5002403" }

(Примечание: Номера KB могут варьироваться в зависимости от версии MSI-установки или канала Click-to-Run).

  1. Обновление через Microsoft Store (для соответствующих версий):
Get-AppxPackage -Name Microsoft.Office.Desktop | Update-AppxPackage

Временные меры

Если немедленная установка патчей невозможна, рекомендуется применить следующие защитные механизмы:

  1. Блокировка исходящего трафика по протоколу SMB (порт 445/TCP) на границе сети, чтобы предотвратить утечку NTLM-хэшей при переходе по вредоносным ссылкам:
New-NetFirewallRule -DisplayName "Block Outbound SMB" -Direction Outbound -LocalPort 445 -Protocol TCP -Action Block
  1. Включение режима "Чтение всех стандартных писем в текстовом формате" (Plain Text), что нейтрализует скрытые гиперссылки:
Set-ItemProperty -Path "HKCU\Software\Microsoft\Office\16.0\Outlook\Options\Mail" -Name "ReadAsPlain" -Value 1

  1. Использование политик безопасности для запрета автоматического скачивания контента из интернета в Outlook.

  2. Настройка списков надежных зон в Internet Explorer/Edge, так как Outlook использует эти настройки для обработки URL.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей