Outlook חוסם את פתיחת היפר-קישורים של FQDN וכתובת IP לאחר התקנת הגנות עבור פגיעות עקיפת תכונת האבטחה של Microsoft Outlook שפורסמה ב- 11 ביולי 2023

עדכון אחרון: 11 בדצמבר 2023

בעיה

בעת לחיצה על קישורים בהודעות דואר אלקטרוני בשולחן העבודה של Outlook, כאשר הנתיב הוא לשם תחום מלא (FQDN) או לכתובת IP, ייתכן שתראה את הפריטים הבאים:

• תיבת דו-שיח של אזהרה של Outlook עם השגיאה "משהו השתבש בכתובת URL זו"

  

• כשל שקט עבור הקובץ הלא מהימן.

בעת פתיחת קישורים בהודעות דואר אלקטרוני בשולחן העבודה של Outlook, כאשר הנתיב הוא ל- FQDN או לכתובת IP או לנתיב שם מארח, תראה תיבת דו-שיח זו. פעולה זו צפויה גם כן. 

אם עליך להפוך תיבת דו-שיח זו ללא זמינה, בצע את ההוראות במאמר הפיכת הודעות אזהרה של היפר-קישורים לזמינות או ללא זמינות בתוכניות Office.

HKEY_CURRENT_USER\software\policies\microsoft\office\16.0\common\securityברירתHKEY_CURRENT_USER\software\policies\microsoft\office\16.0\common\security
DWORD: DisableHyperlinkWarning
ערך: 1

בעיה זו מתרחשת לאחר התקנת עדכוני האבטחה של Outlook לשולחן העבודה ב- 11 ביולי. לקבלת מידע נוסף, ראה את ה- CVEs המתאימים להלן.

MSRC CVE-2023-33151: פגיעות התחזות של Microsoft Outlook

MSRC CVE-2023-35311: פגיעות עקיפת תכונת האבטחה של Microsoft Outlook 

KB 5002427: תיאור של עדכון האבטחה עבור Outlook 2016: 11 ביולי 2023 (KB5002427)

KB 5002432: תיאור של עדכון האבטחה עבור Outlook 2013: 11 ביולי 2023 (KB5002432) 

מצב: פתרון

כדי להבטיח גישה מתמשכת לקבצים בנתיבי FQDN או IP, הוסף כתובות URL אלה לאזור 'אתרים מהימנים' בהתאם להדרכה של Windows, אתר אינטרא-נט מזוהה כאתר אינטרנט בעת שימוש ב- FQDN או בכתובת IP.

1. עבור אל הגדרות Windows.

2. חפש ופתח את אפשרויות אינטרנט.

3. לחץ על הכרטיסיה אבטחה ולאחר מכן בחר אתרים מהימנים.

4. הוסף את כתובת ה- URL, UNC, נתיב FQDN שברצונך לאפשר לו "הוסף אתר אינטרנט זה לאזור".
   לדוגמה, הוסף file://server.usa.corp.com
   
   

   הערה: אם הערך שברצונך להוסיף אינו מתחיל במפורש ב- 'https:', עליך לבטל תחילה את סימון תיבת הסימון 'דרוש אימות שרת (https) עבור כל האתרים באזור זה' לפני שתהיה אפשרות לשמור אותו.

5. ניתן לפרוס פתרון זה גם באמצעות מדיניות קבוצתית.

GPO: תצורת משתמש 

מדיניות: \\Windows Components\Internet Explorer\Internet לוח הבקרה\Security Page\Site to Zone Assignment List

הערה: התחביר להוספת כתובת URL עבור קבצים בנתיבי FQDN או כתובת IP ל- GPO שונה מהוספת כתובת URL של קובץ באופן ידני לאפשרויות אינטרנט | אבטחה | אתרים מהימנים. עליך להוסיף שלושה קווים נטויים /// לפני כתובת ה- \\<ipaddress>.

לדוגמה:

• הוספה ידנית של \\10.123.452.37 file://10.123.452.37 ברשימה אתרים מהימנים מאפשרת לא לחסום את קישור הקובץ.

• אך עבור GPO, עליך להשתמש בתחביר הבא: file:///\\10.123.452.37.
  פעולה זו גם file://10.123.452.37 ברשימת האתרים המהימנים ומאפשרת לא לחסום את קישור הקובץ.

בעת פריסה באמצעות GPO אם יש לך כתובות URL שלא מתחילות ב- https, ייתכן שתצטרך לקבוע את התצורה של ההגדרה כדי לבטל את סימון התיבה עבור דרוש אימות שרת (https) עבור כל האתרים באזור זה.

כדי לקבוע את התצורה של GPO ולא לעבור בין כל הלקוחות בזו אחר זו כדי לבטל את סימון תיבת הסימון, ניתן להשתמש במקשים אלה:
HKU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\Flags: 0x00000143(323)

תיבת סימון מסומנת:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
"Flags"=dword:00000047

תיבת סימון לא מסומנת:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
"Flags"=dword:00000043

כדי להוסיף את שיתופי הקבצים ברישום על-ידי GPO, שקול את הנקודות הבאות:

אם זהו תחום

עבור הדוגמה Contoso לעיל, היא מוגדרת ברישום כאן:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\contoso.com

אם זוהי כתובת IP, היא מוגדרת ברישום כאן:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range1

עבור כל שיתוף של כתובת IP, הוא נדרש כדי ליצור מפתח טווח חדש תחת טווחים.