点开即中招！某知名邮箱客户端曝0day漏洞，立即采取措施！

一个被政府、高校、企业等机构广泛使用的邮件系统，Windows客户端出现安全漏洞，会发生什么？

2022年7月25日，微步在线捕获到一个 Windows 版 Coremail 邮件客户端的 RCE（远程代码执行）漏洞在野利用（“在野利用”是指漏洞在没有发布补丁的情况下，就有人利用该漏洞搞事情）。

经分析验证，攻击者精心构造一封邮件发送给受害者，里面包含一个特殊的附件，当受害者在特定客户端上打开邮件，恶意附件就会自动运行。

然后，攻击者就可以在受害者的机器上远程执行任意代码，比如植入后门、运行木马、窃取数据等进一步操作，甚至完全控制受害者主机。

全程不需要受害者点开任何邮件中的链接或附件，打开邮件即中招。

以下是微步在线的安全研究人员对该漏洞的复现演示（弹出计算器意味着攻击者取得相应的操作权限）：

据Coremail官网介绍，Coremail 是中国第一套中文邮件系统，被政府 、高校、企业等机构广泛使用，凭借超过23年来的优质服务，积累了超过20000家企业客户，目前是国内拥有邮箱用户最多的邮件系统，覆盖终端用户超过10亿。

受此漏洞影响的版本为：

Coremail Air 邮件客户端 3.0.5版本及以上，3.1.0.303（不含）以下版本。

“世上不存在绝对安全、没有漏洞的系统”，只要尽快发现并修补，便能及时止损，控制影响。

因此，在发现漏洞后，微步在线第一时间联系Coremail并协助修复。在本文发布之前，Coremail已发布相应的修复补丁以及新版客户端。

处置建议

紧急临时缓解措施：

• 暂停使用受此漏洞影响的 Coremail 客户端版本，如需使用，可临时改用网页版等其他平台客户端。
• 如果企业部署了桌面管理系统，可以限制Coremail客户端执行包括exe、bat、ps1、vbs等可执行文件/脚本。
• 微步在线旗下的终端检测与响应平台 OneEDR 已支持检测及防护该漏洞。

官方修复方案：

Coremail官方已经发布该漏洞相关修复补丁，我们建议尽快将Window版Coremail客户端更新至最新版。

附上Coremail官方提供的下载链接如下：

https://lunkr.cn/dl?p=pc

https://lunkr.cn/dl?p=mail&arch_type=win64.exe

时间线

2022.07.25

● 微步在线捕获到漏洞在野利用

2022.07.26

● 微步在线分析确认并向相关厂商报告

2022.07.26

● 微步在线终端检测与响应平台 OneEDR 支持检测与防护相关漏洞

2022.07.26

● 厂商发布官方补丁通告

2022.07.26

● 微步情报局发布漏洞通告

· END ·