别再相信「没在钓鱼网页输入帐密就不会被盗」的说法，现在骇客只要发这封邮件就有机会还原你的密码！

ASRC研究中心与中华数位科技，曾在2018/03/28，於官方的Line@帐号发布一则即时的恶意邮件警告，其中我们提到一个特性：

「这种恶意邮件的特殊之处在於，当收件人在 Windows 下解开附档，并选取.url档案时，Windows即会主动向.url要求的位址以SMB通讯协定要求资讯，此时已对远端恶意主机泄漏收件人使用的IP与其电脑名称。」

图一:恶意邮件样本截图

然而，事情并不如表面那般简单。恶意主机上的Samba伺服器启用了NTLMv2验证，因此当Windows拜访该主机时，会将使用者的密码进行杂凑运算後送至伺服器进行验证。

图二：进行 NTLMv2验证时，送出的杂凑码封包

虽然无法从杂凑码反推回实际的密码，但若是密码的强度不足，只要对密码字典表进行杂凑编码後再做比对，就有很高的机会还原密码了。偷走Windows登入的密码要做甚麽用呢？骇客又不一定能直接从外部登入你的电脑！但别忘了，你所在的企业单位可能有外部的服务；或者你所使用的各种网路服务密码都是同一组，不论如何，这个密码可能都已经被骇客收进密码猜测的字典档内了。

图三：若是密码强度不足，破解杂凑码不需要太多时间

同样的问题也出现在Outlook信件软体中。由於Outlook支援Rich Text文本格式 (RTF)，RTF中又可嵌入OLE物件，在制作攻击邮件时，只要在RTF格式的邮件中嵌入一个指向外部SMB服务的远端OLE物件，就能利用Outlook的漏洞 (漏洞编号CVE-2018-0950)，让收信人在预览邮件时，自动连往外部的SMB服务，并泄露收件人的IP、电脑资讯，以及密码的杂凑码。微软已修正该漏洞并释出更新，但这个更新只确保了让Outlook在预览邮件时，不会自动外连至SMB服务。若是信件中带有“\\”开头的连结，使用者离落入陷阱依旧只有一步之遥。

为避免此种类型的攻击，除了建置良好的邮件过滤机制、定时修补软体漏洞外，在防火墙上建议应对外连的SMB服务(port 137、139、445)有所限制，以杜绝未来此种类型的攻击。

目前中华数位SPAM SQR已可防御这类攻击。提醒已使用 SPAM SQR 的用户保持系统与特徵定期更新，以达到最隹防御效果。