2022年7月25日,微步在线捕获到一个 Windows 版 Coremail 邮件客户端的 RCE(远程代码执行)漏洞在野利用(“在野利用”是指漏洞在没有发布补丁的情况下,就有人利用该漏洞搞事情)。
经分析验证,攻击者精心构造一封邮件发送给受害者,里面包含一个特殊的附件,当受害者在特定客户端上打开邮件,恶意附件就会自动运行。
然后,攻击者就可以在受害者的机器上远程执行任意代码,比如植入后门、运行木马、窃取数据等进一步操作,甚至完全控制受害者主机。
全程不需要受害者点开任何邮件中的链接或附件,打开邮件即中招。
据Coremail官网介绍,Coremail 是中国第一套中文邮件系统,被政府 、高校、企业等机构广泛使用,凭借超过23年来的优质服务,积累了超过20000家企业客户,目前是国内拥有邮箱用户最多的邮件系统,覆盖终端用户超过10亿。
Coremail Air 邮件客户端 3.0.5版本及以上,3.1.0.303(不含)以下版本。
“世上不存在绝对安全、没有漏洞的系统”,只要尽快发现并修补,便能及时止损,控制影响。
因此,在发现漏洞后,微步在线第一时间联系Coremail并协助修复。在本文发布之前,Coremail已发布相应的修复补丁以及新版客户端。
处置建议
紧急临时缓解措施:
-
暂停使用受此漏洞影响的 Coremail 客户端版本,如需使用,可临时改用网页版等其他平台客户端。
-
如果企业部署了桌面管理系统,可以限制Coremail客户端执行包括exe、bat、ps1、vbs等可执行文件/脚本。
-
微步在线旗下的终端检测与响应平台 OneEDR 已支持检测及防护该漏洞。
官方修复方案:
Coremail官方已经发布该漏洞相关修复补丁,我们建议尽快将Window版Coremail客户端更新至最新版。
附上Coremail官方提供的下载链接如下:
时间线
1
2022.07.25
● 微步在线捕获到漏洞在野利用
2
2022.07.26
● 微步在线分析确认并向相关厂商报告
3
2022.07.26
● 微步在线终端检测与响应平台 OneEDR 支持检测与防护相关漏洞
4
2022.07.26
● 厂商发布官方补丁通告
5
2022.07.26
● 微步情报局发布漏洞通告
哦原文始发于微信公众号(微步在线):点开即中招!某知名邮箱客户端曝0day漏洞,立即采取措施!
