Microsoft Outlook 可变成 C2 信标来远程执行代码,网络安全公司 TrustedSec 本周发布的全新红队后利用框架“Specula”就证明了这一点。
该 C2 框架通过利用 CVE-2017-11774(2017 年 10 月修补的 Outlook 安全功能绕过漏洞)使用 WebView 创建自定义 Outlook 主页。
微软表示:“在文件共享攻击场景中,攻击者可以提供专门为利用该漏洞而设计的文档文件,然后诱使用户打开该文档文件并与文档进行交互。”
然而,即使微软修补了该漏洞并删除了显示 Outlook 主页的用户界面,攻击者仍然可以使用 Windows 注册表值创建恶意主页,即使在安装了最新 Office 365 版本的系统上也是如此。
正如 Trusted 所解释的那样,Specula 纯粹在 Outlook 环境中运行,其工作原理是通过调用交互式 Python Web 服务器的注册表项设置自定义 Outlook 主页。
为此,非特权威胁者可以在 HKEY_CURRENT_USERSoftwareMicrosoftOffice16.0OutlookWebView 下的 Outlook WebView 注册表项中将 URL 目标设置为他们控制的外部网站。
Outlook Specula 注册表值
Outlook Specula 注册表值
https://www.bleepingcomputer.com/news/security/new-specula-tool-uses-outlook-for-remote-code-execution-in-windows/
原文来源:嘶吼专业版
原文始发于微信公众号(CNCERT国家工程研究中心):新的 Specula 工具利用 Outlook 在 Windows 中执行远程代码
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论