Ein neues Tool namens „Specula“, das von der Cybersicherheitsfirma TrustedSec entwickelt wurde, zeigt, wie Microsoft Outlook in ein C2-Beacon verwandelt werden kann, um Remote-Code auszuführen.
Dieses C2-Framework funktioniert, indem es eine benutzerdefinierte Outlook-Startseite mit WebView erstellt und dabei die Sicherheitslücke CVE-2017-11774 ausnutzt, die im Oktober 2017 behoben wurde. Diese Lücke ermöglichte das Umgehen einer Sicherheitsfunktion in Outlook.
„In einem Angriffsszenario mit Dateifreigabe könnte ein Angreifer eine speziell gestaltete Dokumentdatei bereitstellen, die die Schwachstelle ausnutzt, und dann die Benutzer dazu bringen, die Datei zu öffnen und mit dem Dokument zu interagieren“, erklärt Microsoft.
Obwohl Microsoft die Schwachstelle behoben und die Benutzeroberfläche zum Anzeigen von Outlook-Startseiten entfernt hat, können Angreifer weiterhin bösartige Startseiten erstellen, indem sie Windows-Registrierungswerte verwenden, selbst auf Systemen mit den neuesten Office 365-Versionen.
Laut TrustedSec läuft Specula ausschließlich im Kontext von Outlook. Es funktioniert, indem eine benutzerdefinierte Outlook-Startseite über Registrierungsschlüssel eingestellt wird, die auf einen interaktiven Python-Webserver verweisen.
Unprivilegierte Bedrohungsakteure können dies tun, indem sie ein URL-Ziel in den WebView-Registrierungseinträgen von Outlook unter HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\WebView\ auf eine externe Website unter ihrer Kontrolle setzen.
Die vom Angreifer kontrollierte Outlook-Startseite ist so konzipiert, dass sie benutzerdefinierte VBscript-Dateien bereitstellt, die ein Angreifer verwenden kann, um beliebige Befehle auf kompromittierten Windows-Systemen auszuführen.
„TrustedSec konnte diesen spezifischen Kanal trotz des vorhandenen Wissens und der verfügbaren Präventionsmaßnahmen in Hunderten von Kundenumgebungen für den Erstzugriff nutzen“, so TrustedSec.
„Wenn eine benutzerdefinierte Startseite von einem der von Microsoft in ihrem Workaround beschriebenen Registrierungsschlüssel festgelegt wird, lädt Outlook diese HTML-Seite herunter und zeigt sie anstelle des normalen Postfach-Elements (Posteingang, Kalender, Gesendet usw.) an, wenn der entsprechende Tab ausgewählt wird.
„Von der heruntergeladenen HTML-Seite aus können wir VBscript oder Jscript in einem privilegierten Kontext ausführen, was uns mehr oder weniger vollständigen Zugriff auf das lokale System ermöglicht, als ob wir cscript / wscript.exe ausführen würden.“
Obwohl ein Gerät zuerst kompromittiert werden muss, um den Outlook-Registrierungseintrag zu konfigurieren, können Angreifer diese Technik nutzen, um dauerhaft auf dem System zu bleiben und sich seitlich auf andere Systeme auszubreiten.
Da outlook.exe ein vertrauenswürdiger Prozess ist, können Angreifer bestehende Sicherheitssoftware leichter umgehen, während Befehle ausgeführt werden.
Wie das U.S. Cyber Command (US CyberCom) vor fünf Jahren warnte, wurde die CVE-2017-11774 Outlook-Schwachstelle auch genutzt, um US-Regierungsbehörden anzugreifen.
Sicherheitsforscher von Chronicle, FireEye und Palo Alto Networks verbanden diese Angriffe später mit der iranisch gesponserten Cyber-Spionage-Gruppe APT33.
„FireEye beobachtete erstmals im Juni 2018 die Verwendung von CVE-2017-11774 durch APT34, gefolgt von der Einführung durch APT33 für eine deutlich breitere Kampagne ab Juli 2018, die mindestens ein Jahr andauerte“, erklärten die FireEye-Sicherheitsforscher damals.
