Specula: تبدیل Outlook به C2 با یک تغییر رجیستری

security news

ابزار جدید Specula که توسط شرکت امنیت سایبری TrustedSec منتشر شد، نشان داد مایکروسافت Outlook را می‌توان برای اجرای کد از راه دور استفاده کرد.

این چارچوب C2 با ایجاد یک صفحه اصلی Outlook سفارشی با استفاده از WebView و اکسپلویت آسیب‌پذیری عبور از راهکارهای امنیتی Outlook با شناسه CVE-2017-11774 (امتیاز 7.8) که در اکتبر 2017 وصله شد، کار می‌کند. مایکروسافت گفت: در یک سناریوی حمله اشتراک‌گذاری فایل، مهاجم می‌تواند یک فایل سند ساخته‌ شده ویژه ارائه دهد که برای اکسپلویت از آسیب‌پذیری طراحی شده است و سپس کاربران را متقاعد کند که فایل سند را باز کنند…

اگرچه مایکروسافت این نقص را رفع کرده و رابط کاربری را حذف کرد تا صفحات اصلی Outlook را نشان دهد، با این حال مهاجمان همچنان می‌توانند صفحات اصلی مخرب را با استفاده از مقادیر رجیستری ویندوز (حتی در سیستم‌هایی که آخرین بیلدهای Office 365 در آنها نصب شده) ایجاد کنند. TrustedSec تصریح کرد، Specula صرفا در زمینه Outlook اجرا می‌شود و با تنظیم یک صفحه اصلی Outlook سفارشی از طریق کلیدهای رجیستری که به یک وب سرور تعاملی Python فراخوانی می‌کند، کار می کند.

https://www.bleepingcomputer.com/news/security/new-specula-tool-uses-outlook-for-remote-code-execution-in-windows