Microsoft Outlook: Новый Вектор Удаленного Выполнения Кода
Microsoft Outlook недавно стал потенциальным вектором для удаленного выполнения кода благодаря новому пост-эксплуатационному фреймворку под названием Specula, представленному фирмой по кибербезопасности TrustedSec. Этот инновационный командно-контрольный (C2) фреймворк использует уязвимость в Outlook, а именно CVE-2017-11774, которая представляет собой обход функции безопасности, исправленный еще в октябре 2017 года.
Эксплуатация Уязвимости
Согласно Microsoft, уязвимость может быть использована в сценарии атаки через обмен файлами. Злоумышленник может создать вредоносный документ, специально разработанный для использования этой уязвимости, и убедить пользователей открыть и взаимодействовать с ним. Несмотря на усилия Microsoft по снижению риска путем удаления интерфейса пользователя для отображения домашних страниц Outlook, злоумышленники нашли способ создавать вредоносные домашние страницы через значения реестра Windows. Это особенно тревожно для систем, работающих на последних сборках Office 365.
TrustedSec поясняет, что Specula полностью работает в контексте Outlook. Настраивая пользовательскую домашнюю страницу Outlook через ключи реестра, он может подключаться к интерактивному веб-серверу Python. Непривилегированные злоумышленники могут манипулировать записями реестра WebView Outlook, расположенными по адресу
Домашняя страница Outlook, контролируемая злоумышленником, спроектирована для обслуживания пользовательских файлов VBScript, что позволяет выполнять произвольные команды на скомпрометированных системах Windows. TrustedSec отметила: «Мы смогли использовать этот конкретный канал для первоначального доступа у сотен клиентов, несмотря на существующие знания и меры предотвращения для этой техники».
Когда пользовательская домашняя страница установлена через указанные ключи реестра, Outlook загружает и отображает HTML-страницу вместо обычных элементов почтового ящика, таких как входящие или календарь. Это позволяет выполнять VBScript или JScript в привилегированном контексте, предоставляя почти полный доступ к локальной системе, как при использовании cscript или wscript.exe.
Хотя устройство сначала должно быть скомпрометировано для установки записи реестра Outlook, после этого эта техника может быть использована для сохранения присутствия и бокового перемещения по другим системам. Учитывая, что outlook.exe является доверенным процессом, это облегчает обход существующих мер безопасности, так как команды выполняются бесшовно.
Эта уязвимость не нова; Командование кибербезопасности США (US CyberCom) ранее предупреждало о рисках, связанных с CVE-2017-11774, которая была использована для атак на агентства правительства США. Исследователи безопасности из Chronicle, FireEye и Palo Alto Networks позже связали эти атаки с поддерживаемой Ираном группой кибершпионажа APT33.
Исследователи кибербезопасности FireEye отметили: «FireEye впервые наблюдала использование CVE-2017-11774 группой APT34 в июне 2018 года, за которым последовало принятие APT33 для значительно более широкой кампании, начавшейся в июле 2018 года и продолжавшейся как минимум год».
