Новый инструмент Specula использует Outlook для выполнения кода в Windows

Екатерина Быстрова 30 Июля 2024 - 09:44

...

Новый инструмент Specula использует Outlook для выполнения кода в Windows

Microsoft Outlook можно превратить в C2 (командный сервер) и использовать для удалённого выполнения кода. Специалисты TrustedSec даже выпустили специальный фреймворк Specula, который пригодится для Red Teaming.

В частности, Specula создаёт кастомную домашнюю страницу WebView с помощью уязвимости CVE-2017-11774, позволяющей обойти защитные функции Outlook. Эту брешь устранили ещё в октябре 2017 года.

«Для эксплуатации злоумышленник может отправить жертве специально созданный документ и убедить открыть его», — описывала CVE-2017-11774 Microsoft.

Несмотря на то что разработчики пропатчили уязвимость, условный киберпреступник по-прежнему может создать вредоносную домашнюю страницу с помощью значений в реестре Windows. Это сработает даже с теми системами, где установлены последние сборки Office 365.

Исследователи из TrustedSec, разработавшие для эксплуатации фреймворк Specula, объясняют, что инструмент работает исключительно в контексте Outlook. Для настройки кастомной домашней страницы Specula задействует ключи реестра, обращающиеся к интерактивному веб-серверу Python.

Таким образом, атакующие могут установить целевой URL в ключе реестра Outlook WebView —HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\WebView\ — и указать там адрес своего ресурса.

На вредоносной веб-странице при этом будут размещаться кастомные файлы VBscript, которые можно использовать для выполнения команд в Windows.

«Нам удалось успешно использовать этот вектор для доступа к системам сотен клиентов. И это несмотря на существующие меры безопасности», — пишет TrustedSec.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 21 Августа 2025 - 14:36

Контур информационной безопасности СёрчИнформ Корпорации Системы защиты от утечек конфиденциальной информации (DLP) SearchInform

СёрчИнформ КИБ научилась блокировать загрузки в сетевые папки

DLP-система «СёрчИнформ КИБ» получила функцию, которая помогает снизить риск случайных утечек данных через общедоступные корпоративные папки. Теперь можно ограничивать запись документов с критичной информацией в такие хранилища, чтобы они не оказались в открытом доступе для сотрудников, которым не предназначались.

Функция называется «Сетевые папки по содержимому». Настраивается список данных, которые нельзя размещать в определённых папках, а также указывается, для каких сотрудников будет действовать запрет.

Ограничение срабатывает на уровне операции записи — блокируется и загрузка, и создание новых файлов с «нежелательным» содержимым.

Пример: можно запретить появление в общих папках документов с персональными данными или коммерческой тайной. Если файл уже помечен меткой «Конфиденциально» в системе FileAuditor, то дополнительная проверка содержимого не требуется — ограничение сработает автоматически.

Кроме того, появилась возможность гибко управлять действиями в сетевых папках. Можно настроить ограничения не только на запись, но и на чтение, переименование или удаление файлов.

Для таких блокировок доступны два вспомогательных инструмента. Аудит показывает, кто из сотрудников пытался загрузить запрещённые данные или создать документ с копированием текста в общий доступ. Теневая копия сохраняет исходный файл, чтобы специалисты по безопасности могли его изучить и понять, что именно пытался перенести пользователь.

Напомним, у нас есть обзор СёрчИнформ КИБ 5.2, в котором мы рассматривали основную функциональность российской DLP-системы.