Контакты
Подписка 2024
ITSEC 2024
Форум ITSEC 2024: информационная и кибербезопасность России. Москва, Radisson Blu Belorusskaya. 15-16 октября
Участвуйте!

TrustedSec представила новый инструмент для атак на Microsoft Outlook

31/07/24

images - 2024-07-31T135431.395

Инструмент "Specula" позволяет злоумышленникам удалённо выполнять код, используя Outlook как платформу для управления и контроля (C2).

Основой для работы Specula является уязвимость CVE-2017-11774, которая была исправлена Microsoft в октябре 2017 года. Данный недостаток безопасности позволяет обойти защитные механизмы Outlook и создать кастомную домашнюю страницу, используя WebView.

Согласно данным Microsoft, злоумышленники могут предоставлять специально созданные документы, эксплуатирующие эту уязвимость. Открытие таких документов пользователями может привести к компрометации системы, пишет Securitylab.

Несмотря на исправление уязвимости и удаление интерфейса для отображения домашних страниц Outlook, атакующие всё ещё могут создавать вредоносные страницы с помощью изменения значений реестра Windows, даже на последних версиях Office 365.

Specula работает в контексте Outlook, устанавливая кастомную домашнюю страницу через ключи реестра, которые указывают на внешний сайт, контролируемый злоумышленниками. Эти ключи можно найти в разделе реестра «HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\WebView\».

Злоумышленники могут использовать специально созданные страницы Outlook для запуска VBScript-файлов, что позволяет им выполнять произвольные команды на взломанных системах. TrustedSec отмечает, что этот метод был успешно применён для доступа к сотням клиентов, несмотря на наличие у последних знаний в области цифровой гигиены и принятие профилактических мер.

Когда кастомная домашняя страница устанавливается через ключи реестра, Outlook загружает и отображает HTML-страницу, вместо стандартного содержимого, такого как почта или календарь. С этой страницы можно запускать VBScript или JScript с привилегиями, аналогичными запуску скриптов через cscript или wscript.

Для начальной настройки реестра устройство должно быть скомпрометировано, но после этого злоумышленники могут использовать данный метод для сохранения доступа и распространения на другие системы. Так как процесс «outlook.exe» является доверенным, это упрощает обход существующих средств защиты.

Пять лет назад Командование кибербезопасности США (US CyberCom) предупреждало о том, что уязвимость CVE-2017-11774 использовалась для атак на государственные учреждения США. Позднее исследователи безопасности из Chronicle, FireEye и Palo Alto Networks связали эти атаки с иранской хакерской группой APT33.

Темы:Угрозыэлектронная почтаMicrosoft OutlookTrustedSec
Безопасная разработка
Форум ITSEC 2024 | 08 октября | Оптимизируем инструментарий для процессов безопасной разработки
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...