Outlook บล็อกการเปิดไฮเปอร์ลิงก์ FQDN และที่อยู่ IP หลังจากติดตั้งการป้องกันสําหรับฟีเจอร์ความปลอดภัยของ Microsoft Outlook การเลี่ยงผ่านช่องโหว่ที่เผยแพร่เมื่อวันที่ 11 กรกฎาคม 2023

อัปเดตล่าสุด: 11 ธันวาคม 2023

ปัญหา

เมื่อคุณคลิกลิงก์ในอีเมลใน Outlook บนเดสก์ท็อปที่มีเส้นทางไปยังชื่อโดเมนแบบเต็ม (FQDN) หรือที่อยู่ IP คุณอาจเห็นดังต่อไปนี้:

• กล่องโต้ตอบคําเตือน Outlook ที่มีข้อผิดพลาด "มีบางอย่างผิดพลาดที่ไม่คาดคิดกับ URL นี้"

  

• ความล้มเหลวแบบไม่แสดงข้อความสําหรับแฟ้มที่ไม่น่าเชื่อถือ

เมื่อคุณเปิดลิงก์ในอีเมลใน Outlook บนเดสก์ท็อปที่มีเส้นทางไปยัง FQDN หรือที่อยู่ IP หรือเส้นทางชื่อโฮสต์ คุณจะเห็นกล่องโต้ตอบนี้ นี่เป็นสิ่งที่คาดไว้เช่นกัน 

ถ้าคุณต้องการปิดใช้งานกล่องโต้ตอบนี้ ให้ทําตามคําแนะนําในบทความ เปิดใช้งานหรือปิดใช้งานข้อความเตือนไฮเปอร์ลิงก์ในโปรแกรม Office

HKEY_CURRENT_USER\software\policies\microsoft\office\16.0\common\security DWORD: DisableHyperlinkWarning
ค่า: 1

ปัญหานี้เกิดขึ้นหลังจากติดตั้งการอัปเดตความปลอดภัยในวันที่ 11 กรกฎาคมของ Outlook บนเดสก์ท็อป สําหรับข้อมูลเพิ่มเติม โปรดดู CVEs ที่เกี่ยวข้องด้านล่าง

MSRC CVE-2023-33151: ช่องโหว่การปลอมแปลงของ Microsoft Outlook

MSRC CVE-2023-35311: ช่องโหว่ฟีเจอร์ความปลอดภัยของ Microsoft Outlook 

5002427 KB: คําอธิบายของการอัปเดตความปลอดภัยสําหรับ Outlook 2016: 11 กรกฎาคม 2023 (KB5002427)

5002432 KB: คําอธิบายของการอัปเดตความปลอดภัยสําหรับ Outlook 2013: 11 กรกฎาคม 2023 (KB5002432) 

สถานะ: การแก้ปัญหา

เพื่อให้แน่ใจว่าการเข้าถึงไฟล์บน FQDN หรือเส้นทางที่อยู่ IP ยังคงเพิ่ม URL เหล่านั้นไปยังโซนไซต์ที่เชื่อถือได้ตามคําแนะนําของ Windows ไซต์อินทราเน็ตจะถูกระบุเป็นไซต์อินเทอร์เน็ตเมื่อคุณใช้ FQDN หรือที่อยู่ IP

1. ไปที่ การตั้งค่า Windows

2. ค้นหาและเปิด ตัวเลือกอินเทอร์เน็ต

3. คลิกแท็บ ความปลอดภัย จากนั้นเลือก ไซต์ที่เชื่อถือได้

4. เพิ่ม URL, UNC, เส้นทาง FQDN ที่คุณต้องการอนุญาตให้ "เพิ่มเว็บไซต์นี้ไปยังโซน"
   ตัวอย่างเช่น เพิ่ม file://server.usa.corp.com
   
   

   หมายเหตุ: หากรายการที่คุณต้องการเพิ่มไม่ได้เริ่มต้นด้วย 'https:' อย่างชัดเจน คุณต้องยกเลิกการเลือกกล่องกาเครื่องหมาย 'ต้องการการตรวจสอบเซิร์ฟเวอร์ (https) สําหรับไซต์ทั้งหมดในโซนนี้ก่อนจึงจะสามารถบันทึกได้

5. วิธีแก้ไขปัญหาชั่วคราวนี้ยังสามารถปรับใช้ผ่านทางนโยบายกลุ่มได้

GPO: การกําหนดค่าผู้ใช้ 

นโยบาย: \\Windows Components\Internet Explorer\Internet แผงควบคุม\Security Page\Site to Zone Assignment List

หมายเหตุ: ไวยากรณ์สําหรับการเพิ่ม URL สําหรับไฟล์บน FQDN หรือเส้นทางที่อยู่ IP ไปยัง GPO จะแตกต่างจากการเพิ่ม URL ของไฟล์ไปยังตัวเลือกอินเทอร์เน็ตด้วยตนเอง ความปลอดภัย | ไซต์ที่เชื่อถือได้ คุณจําเป็นต้องเพิ่มเครื่องหมายทับสามเครื่องหมาย /// ไว้หน้า> \\<ipaddress

ตัวอย่างเช่น

• การเพิ่ม \\10.123.452.37 ด้วยตนเองจะใส่ file://10.123.452.37 ในรายการไซต์ที่เชื่อถือได้ ซึ่งจะทําให้ลิงก์ไฟล์ไม่ถูกบล็อก

• แต่สําหรับ GPO คุณจําเป็นต้องใช้ไวยากรณ์ต่อไปนี้: file:///\\10.123.452.37
  วิธีนี้จะใส่ file://10.123.452.37 ในรายการไซต์ที่เชื่อถือได้และอนุญาตให้ลิงก์ไฟล์ไม่ถูกบล็อก

เมื่อคุณปรับใช้โดย GPO ถ้าคุณมี URL ที่ไม่ได้เริ่มต้นด้วย https คุณอาจจําเป็นต้องกําหนดค่าการตั้งค่าเพื่อยกเลิกการเลือกกล่องสําหรับ จําเป็นต้องมีการตรวจสอบเซิร์ฟเวอร์ (https) สําหรับไซต์ทั้งหมดในโซนนี้

ในการกําหนดค่า GPO และไม่จําเป็นต้องผ่านไคลเอ็นต์ทั้งหมดทีละไคลเอ็นต์เพื่อยกเลิกการเลือกกล่องกาเครื่องหมาย แป้นเหล่านี้สามารถใช้:
HKU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\Flags: 0x00000143(323)

เลือกกล่องกาเครื่องหมาย:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
"Flags"=dword:00000047

ยกเลิกการเลือกกล่องกาเครื่องหมาย:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
"Flags"=dword:00000043

เมื่อต้องการเพิ่มการใช้แฟ้มร่วมกันในรีจิสทรีโดย GPO ให้พิจารณาดังต่อไปนี้:

ถ้าเป็นโดเมน

สําหรับตัวอย่าง Contoso ด้านบน มีการตั้งค่าในรีจิสทรีที่นี่:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\contoso.com

หากเป็นที่อยู่ IP จะมีการตั้งค่าในรีจิสทรีที่นี่:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range1

และสําหรับการแชร์ที่อยู่ IP แต่ละรายการ จําเป็นต้องใช้ในการสร้างคีย์ช่วงใหม่ภายใต้ช่วง