Microsoft Outlook dapat diubah menjadi suar C2 untuk mengeksekusi kode dari jarak jauh, seperti yang ditunjukkan oleh kerangka kerja pasca-eksploitasi tim merah baru bernama “Specula,” yang dirilis hari ini oleh firma keamanan siber TrustedSec.
Kerangka kerja C2 ini bekerja dengan membuat Halaman Beranda Outlook khusus menggunakan WebView dengan memanfaatkan CVE-2017-11774kerentanan bypass fitur keamanan Outlook yang ditambal pada Oktober 2017.
“Dalam skenario serangan berbagi file, penyerang dapat menyediakan file dokumen yang dibuat khusus untuk mengeksploitasi kerentanan, lalu meyakinkan pengguna untuk membuka file dokumen dan berinteraksi dengan dokumen tersebut,” kata Microsoft mengatakan.
Namun, meskipun Microsoft telah menambal kelemahan tersebut dan menghapus antarmuka pengguna untuk menampilkan beranda Outlook, penyerang masih dapat membuat beranda berbahaya menggunakan nilai Windows Registry, bahkan pada sistem yang menginstal versi terbaru Office 365.
Sebagai Terpercaya menjelaskanSpecula berjalan murni dalam konteks Outlook, dan bekerja dengan menetapkan beranda Outlook khusus melalui kunci registri yang memanggil server web Python interaktif.
Untuk melakukan hal itu, pelaku ancaman tanpa hak istimewa dapat menetapkan target URL di entri registri WebView Outlook di bawah HKEY_CURRENT_USERSoftwareMicrosoftOffice16.0OutlookWebView ke situs web eksternal di bawah kendali mereka.
Halaman beranda Outlook yang dikendalikan penyerang dirancang untuk menyajikan berkas VBscript khusus yang dapat digunakan penyerang untuk mengeksekusi perintah sewenang-wenang pada sistem Windows yang telah disusupi.
“TrustedSec telah mampu memanfaatkan saluran khusus ini untuk akses awal pada ratusan klien meskipun pengetahuan dan pencegahan yang ada tersedia untuk teknik ini,” TrustedSec dikatakan.
“Saat halaman beranda kustom ditetapkan oleh salah satu kunci Registri yang diuraikan oleh Microsoft dalam solusi sementara mereka, Outlook akan mengunduh dan menampilkan halaman HTML tersebut, bukan elemen kotak surat normal (kotak masuk, kalender, terkirim, dst.) saat tab terkait dipilih.
“Dari halaman HTML yang diunduh, kami dapat menjalankan vbscript atau jscript dalam konteks istimewa dengan akses yang lebih atau kurang penuh ke sistem lokal seolah-olah kami menjalankan cscript / wscript.exe.”
Walaupun suatu perangkat pertama-tama perlu disusupi untuk mengonfigurasi entri Outlook Registry, setelah dikonfigurasi, penyerang dapat menggunakan teknik ini untuk persistensi dan menyebar secara lateral ke sistem lain.
Karena outlook.exe merupakan proses tepercaya, hal ini memudahkan penyerang untuk menghindari perangkat lunak yang ada saat perintah dieksekusi.
Seperti yang diperingatkan Komando Siber AS (US CyberCom) lima tahun lalu, kerentanan Outlook CVE-2017-11774 juga digunakan untuk menargetkan lembaga pemerintah AS.
Peneliti keamanan dari Chronicle, Mata ApiDan Jaringan Palo Alto kemudian menghubungkan serangan ini dengan kelompok mata-mata cyber APT33 yang disponsori Iran.
“FireEye pertama kali mengamati penggunaan CVE-2017-11774 oleh APT34 pada bulan Juni 2018, diikuti dengan adopsi oleh APT33 untuk kampanye yang jauh lebih luas yang dimulai pada bulan Juli 2018 dan berlanjut setidaknya selama satu tahun,” kata peneliti keamanan siber FireEye dikatakan pada saat itu.
