나는 머리를 긁적이는 상황에 처해 있습니다. 취소를 클릭하거나 Outlook에서 로그아웃/로그인한 후에도 Outlook에서 Windows 보안 팝업이 계속 표시된다고 보고한 사용자가 있습니다.
다행히 사용자가 자격 증명을 입력하지 않았습니다.
다음은 보안 관점에서 확인한 몇 가지 사항입니다.
- 분석 도구를 사용하여 이미지의 URL을 확인했습니다. 악의적인 것은 아무것도 돌아오지 않았습니다.
- "https://stacksports.goalline.ca/"로 리디렉션되는 URL "http://cdn.goalline.ca"를 확인했습니다. 거기에도 악의적인 것은 없습니다.
- 도메인 cdn.goalline.ca를 확인했는데 악성 항목은 없습니다. 20년 전에 등록된 것으로 보이며 2002년에 설립되었다고 명시된 스택스포츠 사이트와 일치합니다.
- Enterprise AV, MS Defender를 확인했는데 악성 항목이 다시 나타나지 않습니다.
왜 이것이 사용자에게 계속 나타나는지 도와줄 수 있는 사람이 있습니까? 또한, 이런 일이 다시 발생하지 않도록 하려면 어떻게 해야 합니까?
답변1
그것은 단지 단순한 피드일 뿐입니다. 사용자는 이 캘린더를 구독했거나 Outlook 클라이언트의 RSS 구독을 통해 구독했어야 합니다.
사용자 인증에 의존하는 일종의 아웃바운드 웹 프록시 또는 필터가 있기 때문에 팝업이 나타나는 것일 수 있습니다. 해당 URL에 접속하면 인증이 필요하지 않기 때문입니다. 하지만 더 명확한 그림을 얻으려면 경계 장치의 로그를 확인하거나 사용자 PC에서 Wireshark를 실행해야 합니다.
이를 제거하려면 인증 문제를 찾아 수정하거나 리소스에서 구독을 취소하면 됩니다. Outlook 버전에 따라 계정 아래에 다음과 같이 표시됩니다(내 계정은 비어 있음). 여기 캘린더나 RSS 피드 아래에 있습니다.
스크린샷의 URL은 다음과 같습니다. http://cdn.goalline.ca/subscribe_ical.php?cal=6eee1-201407-201408-31153-1721
답변2
Windows 10과 11에서는 이것이 나에게 두통을 해결했습니다.
다음 키가 있는 경우 Windows 레지스트리를 살펴보세요.
- HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity\EnableADAL이 0으로 설정되었습니다.
- HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity\DisableADALatopWAMOverride가 1로 설정되었습니다.
있다면 백업하고 삭제하세요
그런 다음: -> Windows 키 + I -> 계정 -> 회사 또는 학교에 액세스
여기에서 Exchange 365 계정을 찾을 수 있습니다. -> 연결을 끊습니다.
이제 표준 Exchange 365 자격 증명 창이 나타납니다.
참고: 제 경우에는 절망적이었습니다. 그 전에 Outlook 프로필을 삭제했는데, 꼭 해야 하는지 모르겠습니다. 참고 2: 영어로 죄송합니다.