Microsoft Outlook peut être transformé en balise C2 pour exécuter du code à distance, comme le démontre un nouveau framework de post-exploitation red team nommé « Specula », publié aujourd’hui par la société de cybersécurité TrustedSec.
Ce framework C2 fonctionne en créant une page d’accueil Outlook personnalisée à l’aide de WebView en exploitant CVE-2017-11774, une vulnérabilité de contournement de fonctionnalité de sécurité Outlook corrigée en octobre 2017.
« Dans un scénario d’attaque de partage de fichiers, un attaquant pourrait fournir un fichier de document spécialement conçu pour exploiter la vulnérabilité, puis convaincre les utilisateurs d’ouvrir le fichier de document et d’interagir avec le document », explique Microsoft.
Cependant, même si Microsoft a corrigé la faille et supprimé l’interface utilisateur pour afficher les pages d’accueil Outlook, les attaquants peuvent toujours créer des pages d’accueil malveillantes à l’aide des valeurs de registre Windows, même sur les systèmes sur lesquels les dernières versions d’Office 365 sont installées.
Comme l’explique Trusted, Specula s’exécute uniquement dans le contexte d’Outlook et fonctionne en définissant une page d’accueil Outlook personnalisée via des clés de registre qui appellent un serveur Web Python interactif.
Pour ce faire, les acteurs de la menace non privilégiés peuvent définir une cible d’URL dans les entrées de registre WebView d’Outlook sous HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\WebView\ vers un site Web externe sous leur contrôle.
La page d’accueil Outlook contrôlée par l’attaquant est conçue pour servir des fichiers VBScript personnalisés qu’un attaquant peut utiliser pour exécuter des commandes arbitraires sur des systèmes Windows compromis.
« TrustedSec a été en mesure de tirer parti de ce canal spécifique pour un accès initial à des centaines de clients malgré les connaissances et les préventions existantes disponibles pour cette technique », a déclaré TrustedSec.
« Lorsqu’une page d’accueil personnalisée est définie par l’une des clés de registre décrites par Microsoft dans leur solution de contournement, Outlook télécharge et affiche cette page HTML au lieu de l’élément de boîte aux lettres normal (boîte de réception, calendrier, envoyé, etc.) lorsque l’onglet associé est sélectionné.
« À partir de la page HTML téléchargée, nous pouvons exécuter vbscript ou jscript dans un contexte privilégié avec un accès plus ou moins complet au système local comme si nous exécutions cscript / wscript.exé. »
Alors qu’un périphérique doit d’abord être compromis pour configurer l’entrée de registre Outlook, une fois configuré, les attaquants peuvent utiliser cette technique pour la persistance et se propager latéralement à d’autres systèmes.
Depuis outlook.exe est un processus de confiance, il est plus facile pour les attaquants d’échapper aux logiciels existants lorsque les commandes sont exécutées.
Comme l’a averti l’US Cyber Command (USCyberCom) il y a cinq ans, la vulnérabilité Outlook CVE-2017-11774 a également été utilisée pour cibler les agences gouvernementales américaines.
Des chercheurs en sécurité de Chronicle, FireEye et Palo Alto Networks ont par la suite lié ces attaques au groupe de cyberespionnage APT33 parrainé par l’Iran.
« FireEye a observé pour la première fois qu’APT34 utilisait CVE-2017-11774 en juin 2018, suivi de l’adoption par APT33 pour une campagne beaucoup plus large commençant en juillet 2018 et se poursuivant pendant au moins un an », ont déclaré les chercheurs en cybersécurité de FireEye à l’époque.