What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-08-02 00:53:15 | Un nouvel outil Specula utilise Outlook pour l'exécution du code distant sous Windows New Specula tool uses Outlook for remote code execution in Windows (lien direct) |
## Instantané
TrustEdSec a identifié un nouveau cadre post-exploitation de l'équipe rouge appelée "Specula", qui tire parti d'une vulnérabilité dans Microsoft Outlook pour exécuter à distance le code en définissant des pages d'accueil malveillantes via des modifications du registre.
## Description
Le nouveau cadre de spéculations exploite [CVE-2017-11774] (https://sip.security.microsoft.com/vulnerabilities/vulnerabilité/CVE-2017-11774/overview), une fonctionnalité de sécurité de contournement de la vulnérabilité dans Outlook qui permet aux acteurs de menace àDéfinissez une page d'accueil Outlook personnalisée via des clés de registre et exécutez VBScript ou JScript pour exécuter des commandes arbitraires sur des systèmes Windows compromis.Bien qu'ils soient corrigés, les attaquants peuvent toujours créer des pages d'accueil malveillantes en utilisant des valeurs de registre Windows, leur permettant de réaliser de la persistance et de se propager latéralement à d'autres systèmes.La méthode est remarquable pour sa capacité à contourner les logiciels de sécurité en tirant parti de l'état du processus de confiance d'Outlook.
Pour que Specula exécute avec succès le code distant, les attaquants doivent d'abord compromettre une machine pour accéder.
En 2018, la vulnérabilité des perspectives du CVE-2017-11774 a été utilisée pour cibler les agences gouvernementales américaines et a été liée au groupe de cyber-espionnage APT33 parrainé par l'Iran par les chercheurs en sécurité de Chronicle, Fireeye et Palo Alto.
## Recommandations
La source fournit les recommandations suivantes:
- Tout d'abord, si possible pour votre organisation, commencez à utiliser la nouvelle Outlook \\ '\\.
- Deuxièmement, dans les versions à venir de Windows 11, le moteur VBScript sera un composant qui peut être supprimé et paralysera ce vecteur d'attaque car VBScript est nécessaire pour exécuter le code.
- Troisièmement, l'objet de stratégie de groupe (GPO) peut être utilisé pour configurer les clés associées et définir d'autres qui désactivent purement WebView.
- La quatrième option consiste à tirer parti des lignes de base dans la boîte à outils de conformité Microsoft Security.Lors des tests, les lignes de base semblent avoir verrouillé le moteur Web que Outlook utilise pour rendre HTML et VBScript, ce qui ne fait pas d'exécuter les scripts.
## Les références
[SPECULA - transformant Outlook en un C2 avec un changement de registre] (https://trustedsec.com/blog/specula-turning-outlook-into-a-c2-with-one-registry-change).TrustEdSec (consulté en 2024-07-31)
[New Specula Tool utilise Outlook pour l'exécution de code distant sous Windows] (https://www.bleepingcomputer.com/news/security/new-specula-tool-uses-bout-out--for-memote-code-execution-in-windows/).Bleeping Computer (consulté en 2024-07-31)
## Droits d'auteur
**&copie;Microsoft 2024 **.Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est interdite.
## Snapshot TrustedSec identified a new red team post-exploitation framework called "Specula," which leverages a vulnerability in Microsoft Outlook to remotely execute code by setting malicious home pages via registry modifications. ## Description The novel Specula framework exploits [CVE-2017-11774](https://sip.security.microsoft.com/vulnerabilities/vulnerability/CVE-2017-11774/overview), a security feature bypass vulnerability in Outlook that allows threat actors to set a custom Outlook home page via registry keys and run vbscript or jscript to execute arbitrary commands on compromised Windows systems. Despite being patched, attackers can still create malicious home pages using Windows Registry values, enabling them to achieve persistence and laterally spread to other systems. The method is notable for its ability to bypass security software by leveraging Outl |
Tool Vulnerability Threat | APT33 APT 33 | ★★★ |
 |
2023-12-22 11:04:00 | Microsoft met en garde contre le nouveau \\ 'falsefont \\' Backdoor ciblant le secteur de la défense Microsoft Warns of New \\'FalseFont\\' Backdoor Targeting the Defense Sector (lien direct) |
Les organisations du secteur de la base industrielle de la défense (DIB) sont dans la réticule d'un acteur de menace iranien dans le cadre d'une campagne conçue pour livrer une porte dérobée inédite appelée Falsefont.
Les résultats proviennent de Microsoft, qui suit l'activité sous son surnom et NBSP sur le thème des conditions météorologiques; Peach Sandstorm & NBSP; (anciennement Holmium), qui est également connu sous le nom d'APT33, ElfiN et Kitten raffiné.
"
Organizations in the Defense Industrial Base (DIB) sector are in the crosshairs of an Iranian threat actor as part of a campaign designed to deliver a never-before-seen backdoor called FalseFont. The findings come from Microsoft, which is tracking the activity under its weather-themed moniker Peach Sandstorm (formerly Holmium), which is also known as APT33, Elfin, and Refined Kitten. " |
Threat Industrial | APT33 APT 33 | ★★★ |
 |
2023-09-15 09:00:00 | Le groupe de menaces iranien atteint des milliers avec une campagne de pulvérisation de mot de passe Iranian Threat Group Hits Thousands With Password Spray Campaign (lien direct) |
L'activité APT33 a entraîné un vol de données d'un petit nombre de victimes
APT33 activity resulted in data theft from small number of victims |
Threat | APT33 APT33 APT 33 APT 33 | ★★ |
 |
2019-11-14 07:01:25 | More than a Dozen Obfuscated APT33 Botnets Used for Extreme Narrow Targeting (lien direct) |  The threat group APT33 is known to target the oil and aviation industries aggressively. Our recent findings show that the group uses about a dozen live Command and Control (C&C) servers for extremely narrow targeted malware campaigns against organizations in the Middle East, the U.S., and Asia.
|
Malware Threat | APT33 APT 33 |
1
We have: 4 articles.
We have: 4 articles.
To see everything:
Our RSS (filtrered)
