ابزار جدید Specula که توسط شرکت امنیت سایبری TrustedSec منتشر شد، نشان داد مایکروسافت Outlook را میتوان برای اجرای کد از راه دور استفاده کرد.
این چارچوب C2 با ایجاد یک صفحه اصلی Outlook سفارشی با استفاده از WebView و اکسپلویت آسیبپذیری عبور از راهکارهای امنیتی Outlook با شناسه CVE-2017-11774 (امتیاز 7.8) که در اکتبر 2017 وصله شد، کار میکند. مایکروسافت گفت: در یک سناریوی حمله اشتراکگذاری فایل، مهاجم میتواند یک فایل سند ساخته شده ویژه ارائه دهد که برای اکسپلویت از آسیبپذیری طراحی شده است و سپس کاربران را متقاعد کند که فایل سند را باز کنند…
اگرچه مایکروسافت این نقص را رفع کرده و رابط کاربری را حذف کرد تا صفحات اصلی Outlook را نشان دهد، با این حال مهاجمان همچنان میتوانند صفحات اصلی مخرب را با استفاده از مقادیر رجیستری ویندوز (حتی در سیستمهایی که آخرین بیلدهای Office 365 در آنها نصب شده) ایجاد کنند. TrustedSec تصریح کرد، Specula صرفا در زمینه Outlook اجرا میشود و با تنظیم یک صفحه اصلی Outlook سفارشی از طریق کلیدهای رجیستری که به یک وب سرور تعاملی Python فراخوانی میکند، کار می کند.
https://www.bleepingcomputer.com/news/security/new-specula-tool-uses-outlook-for-remote-code-execution-in-windows
