Microsoft Outlook adalah salah satu daripada platform e-mel yang paling popular di dunia. Saya sendiri bergantung pada alamat e-mel Outlook saya untuk tugas yang berkaitan dengan pekerjaan serta tugas peribadi.

Malangnya, Outlook mungkin tidak semestinya seperti yang kita fikirkan oleh pengguna. Menurut laporan yang diterbitkan oleh Institut Kejuruteraan Perisian Carnegie Mellon, Outlook datang dengan bug keselamatan yang boleh mencetuskan kebocoran hash kata laluan apabila pengguna memaparkan e-mel Format Teks Kaya yang mengandungi objek OLE yang dihoskan dari jauh.

Tonton kata laluan Outlook anda

Kelemahan keselamatan ini wujud kerana gergasi Redmond tidak menggunakan pengesahan dan ketetapan kandungan yang ketat apabila memuat item dari pelayan SMB jauh. Sebaliknya, kelemahan yang sama tidak boleh dieksploitasi ketika mengakses kandungan yang dihoskan oleh web kerana Microsoft menerapkan sekatan yang lebih ketat ketika menangani jenis konten ini.

Outlook tidak memuatkan imej yang dihoskan oleh web dalam e-mel untuk melindungi alamat IP pengguna. Walau bagaimanapun, apabila pengguna mengakses mesej e-mel RTF yang mengandungi objek OLE dimuatkan dari pelayan SMB jauh, Outlook memuatkan imej masing-masing.

Ini membawa kepada satu siri kebocoran yang merangkumi alamat IP, nama domain, dan banyak lagi seperti yang diterangkan oleh laporan:

Outlook menghalang kandungan web jauh kerana risiko privasi bug web. Tetapi dengan e-mel teks yang kaya, objek OLE dimuat tanpa interaksi pengguna. Di sini kita dapat melihat daripada sambungan SMB sedang dirundingkan secara automatik. Satu-satunya tindakan yang mencetuskan rundingan ini adalah melihat Outlook e-mel yang dihantar kepadanya. Saya dapat melihat bahawa perkara-perkara berikut dibocorkan: alamat IP, nama domain, nama pengguna, nama tuan rumah, kunci sesi SMB. Objek OLE jauh dalam mesej e-mel kaya teks berfungsi seperti bug web pada steroid!