Новый инструмент Specula использует Outlook для выполнения кода в Windows

Microsoft Outlook можно превратить в C2 (командный сервер) и использовать для удалённого выполнения кода. Специалисты TrustedSec даже выпустили специальный фреймворк Specula, который пригодится для Red Teaming.

В частности, Specula создаёт кастомную домашнюю страницу WebView с помощью уязвимости CVE-2017-11774, позволяющей обойти защитные функции Outlook. Эту брешь устранили ещё в октябре 2017 года.

«Для эксплуатации злоумышленник может отправить жертве специально созданный документ и убедить открыть его», — описывала CVE-2017-11774 Microsoft.

Несмотря на то что разработчики пропатчили уязвимость, условный киберпреступник по-прежнему может создать вредоносную домашнюю страницу с помощью значений в реестре Windows. Это сработает даже с теми системами, где установлены последние сборки Office 365.

Исследователи из TrustedSec, разработавшие для эксплуатации фреймворк Specula, объясняют, что инструмент работает исключительно в контексте Outlook. Для настройки кастомной домашней страницы Specula задействует ключи реестра, обращающиеся к интерактивному веб-серверу Python.

Таким образом, атакующие могут установить целевой URL в ключе реестра Outlook WebView —HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\WebView\ — и указать там адрес своего ресурса.

На вредоносной веб-странице при этом будут размещаться кастомные файлы VBscript, которые можно использовать для выполнения команд в Windows.

«Нам удалось успешно использовать этот вектор для доступа к системам сотен клиентов. И это несмотря на существующие меры безопасности», — пишет TrustedSec.