One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8549339 |
| Date de publication | 2024-08-02 00:53:15 (vue: 2024-08-02 01:18:42) |
| Titre | Un nouvel outil Specula utilise Outlook pour l'exécution du code distant sous Windows New Specula tool uses Outlook for remote code execution in Windows |
| Texte | ## Instantané
TrustEdSec a identifié un nouveau cadre post-exploitation de l'équipe rouge appelée "Specula", qui tire parti d'une vulnérabilité dans Microsoft Outlook pour exécuter à distance le code en définissant des pages d'accueil malveillantes via des modifications du registre.
## Description
Le nouveau cadre de spéculations exploite [CVE-2017-11774] (https://sip.security.microsoft.com/vulnerabilities/vulnerabilité/CVE-2017-11774/overview), une fonctionnalité de sécurité de contournement de la vulnérabilité dans Outlook qui permet aux acteurs de menace àDéfinissez une page d'accueil Outlook personnalisée via des clés de registre et exécutez VBScript ou JScript pour exécuter des commandes arbitraires sur des systèmes Windows compromis.Bien qu'ils soient corrigés, les attaquants peuvent toujours créer des pages d'accueil malveillantes en utilisant des valeurs de registre Windows, leur permettant de réaliser de la persistance et de se propager latéralement à d'autres systèmes.La méthode est remarquable pour sa capacité à contourner les logiciels de sécurité en tirant parti de l'état du processus de confiance d'Outlook.
Pour que Specula exécute avec succès le code distant, les attaquants doivent d'abord compromettre une machine pour accéder.
En 2018, la vulnérabilité des perspectives du CVE-2017-11774 a été utilisée pour cibler les agences gouvernementales américaines et a été liée au groupe de cyber-espionnage APT33 parrainé par l'Iran par les chercheurs en sécurité de Chronicle, Fireeye et Palo Alto.
## Recommandations
La source fournit les recommandations suivantes:
- Tout d'abord, si possible pour votre organisation, commencez à utiliser la nouvelle Outlook \\ '\\.
- Deuxièmement, dans les versions à venir de Windows 11, le moteur VBScript sera un composant qui peut être supprimé et paralysera ce vecteur d'attaque car VBScript est nécessaire pour exécuter le code.
- Troisièmement, l'objet de stratégie de groupe (GPO) peut être utilisé pour configurer les clés associées et définir d'autres qui désactivent purement WebView.
- La quatrième option consiste à tirer parti des lignes de base dans la boîte à outils de conformité Microsoft Security.Lors des tests, les lignes de base semblent avoir verrouillé le moteur Web que Outlook utilise pour rendre HTML et VBScript, ce qui ne fait pas d'exécuter les scripts.
## Les références
[SPECULA - transformant Outlook en un C2 avec un changement de registre] (https://trustedsec.com/blog/specula-turning-outlook-into-a-c2-with-one-registry-change).TrustEdSec (consulté en 2024-07-31)
[New Specula Tool utilise Outlook pour l'exécution de code distant sous Windows] (https://www.bleepingcomputer.com/news/security/new-specula-tool-uses-bout-out--for-memote-code-execution-in-windows/).Bleeping Computer (consulté en 2024-07-31)
## Droits d'auteur
**&copie;Microsoft 2024 **.Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est interdite.
## Snapshot TrustedSec identified a new red team post-exploitation framework called "Specula," which leverages a vulnerability in Microsoft Outlook to remotely execute code by setting malicious home pages via registry modifications. ## Description The novel Specula framework exploits [CVE-2017-11774](https://sip.security.microsoft.com/vulnerabilities/vulnerability/CVE-2017-11774/overview), a security feature bypass vulnerability in Outlook that allows threat actors to set a custom Outlook home page via registry keys and run vbscript or jscript to execute arbitrary commands on compromised Windows systems. Despite being patched, attackers can still create malicious home pages using Windows Registry values, enabling them to achieve persistence and laterally spread to other systems. The method is notable for its ability to bypass security software by leveraging Outl |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | **© 11774 11774/overview 2017 2018 2024 2024** ability access accessed achieve actors agencies all allows alto any apt33 arbitrary associated attack attackers baselines been being bleeping bleepingcomputer bypass called can causing change chronicle code com/blog/specula com/news/security/new com/vulnerabilities/vulnerability/cve commands compliance component compromise compromised computer configure content copyright create cripple custom cve cyber description despite disable distribution down enabling engine espionage execute execution exploitation exploits feature fireeye first following fourth framework from gain government gpo group has have home html https://sip https://trustedsec https://www identified inside iranian its jscript keys laterally leverage leverages a leveraging linked locked machine malicious method microsoft modifications must needed networks new not notable novel object one option organization other others outlook outright page pages palo part patched permission persistence policy possible post process prohibited provides recommendations recommendations: red references registry remote remotely removed rendering reproduction researchers reserved rights run scripts second security seem set setting since site snapshot software source specula sponsored spread start status successfully systems target team testing them thereof third threat tool toolkit trusted trustedsec turning upcoming used uses using values vbscript vector versions vulnerability web webview which will windows windows/ without written your the |
| Tags | Tool Vulnerability Threat |
| Stories | APT33 APT 33 |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.