主要观点总结
本文主要介绍了一个名为Specula的新工具,该工具利用Outlook的C2信标进行远程代码执行。通过利用CVE-2017-11774漏洞,攻击者可以创建自定义Outlook主页并在受害者的Windows系统上执行任意命令。这种攻击方法使攻击者能够轻松地逃避现有软件的检测,实现持久性和横向传播。
关键观点总结
关键观点1: Specula工具的使用
Specula是一个新的红队后利用框架,通过利用CVE-2017-11774漏洞在Outlook中创建恶意主页,实现在Windows系统上远程执行代码。
关键观点2: CVE-2017-11774漏洞的利用
攻击者可以利用CVE-2017-11774漏洞绕过Outlook的安全功能,通过WebView创建自定义主页,并在受害者的系统上执行任意命令。
关键观点3: Outlook主页的自定义
攻击者可以通过设置Windows注册表值来创建恶意主页,即使在没有安装最新Office 365版本的系统上也可以实现这一操作。
关键观点4: 持久性和横向传播
一旦攻击者配置了Outlook的注册表项,他们就可以使用这种技术实现持久性,并在受感染的Windows系统上进行横向传播。
关键观点5: 攻击的严重性
虽然攻击者首先需要入侵设备才能配置Outlook注册表项,但这种攻击方法的严重性不容忽视,因为它可以使攻击者在受害者的系统上执行任意命令,并逃避现有软件的检测。
文章预览
Microsoft Outlook 可变成 C2 信标来远程执行代码,网络安全公司 TrustedSec 本周发布的全新红队后利用框架“Specula”就证明了这一点。 该 C2 框架通过利用 CVE-2017-11774(2017 年 10 月修补的 Outlook 安全功能绕过漏洞)使用 WebView 创建自定义 Outlook 主页。 微软表示:“在文件共享攻击场景中,攻击者可以提供专门为利用该漏洞而设计的文档文件,然后诱使用户打开该文档文件并与文档进行交互。” 然而,即使微软修补了该漏洞并删除了显示 Outlook 主页的用户界面,攻击者仍然可以使用 Windows 注册表值创建恶意主页,即使在安装了最新 Office 365 版本的系统上也是如此。 正如 Trusted 所解释的那样,Specula 纯粹在 Outlook 环境中运行,其工作原理是通过调用交互式 Python Web 服务器的注册表项设置自定义 Outlook 主页。 为此,非特权威胁者可以在 HKEY_CURRENT_USER\Software\Mi
………………………………
