Outlook : Une Nouvelle Vulnérabilité Exploitée par le Framework Specula

technologie Outlook

Introduction à la Vulnérabilité

Microsoft Outlook a récemment été mis en lumière pour sa capacité à être transformé en un canal de commande et de contrôle (C2) permettant l’exécution de code à distance. Cette découverte émane d’un nouveau framework de post-exploitation, nommé « Specula », développé par la société de cybersécurité TrustedSec.

Mécanisme d’Exploitation

Le framework C2 fonctionne en créant une page d’accueil personnalisée pour Outlook, exploitant une vulnérabilité de contournement de sécurité, CVE-2017-11774, qui a été corrigée en octobre 2017. Selon Microsoft, dans un scénario d’attaque par partage de fichiers, un attaquant pourrait fournir un document spécialement conçu pour exploiter cette faille et inciter les utilisateurs à l’ouvrir.

Malgré le correctif apporté par Microsoft, les attaquants peuvent toujours générer des pages d’accueil malveillantes en utilisant des valeurs du Registre Windows, même sur des systèmes équipés des dernières versions d’Office 365.

Fonctionnement de Specula

Comme l’explique TrustedSec, Specula opère uniquement dans le contexte d’Outlook. Il établit une page d’accueil personnalisée via des clés de registre qui se connectent à un serveur web interactif en Python. Les acteurs malveillants, même sans privilèges élevés, peuvent définir une URL cible dans les entrées de registre WebView d’Outlook, permettant ainsi de rediriger vers un site externe sous leur contrôle.

Valeur de registre Specula
Valeur de registre Specula (TrustedSec)

La page d’accueil contrôlée par l’attaquant est conçue pour exécuter des fichiers VBScript, permettant ainsi l’exécution de commandes arbitraires sur des systèmes Windows compromis. TrustedSec a rapporté avoir utilisé ce canal spécifique pour accéder à des centaines de clients, malgré les connaissances et les mesures de prévention existantes.

Implications de Sécurité

Lorsque la page d’accueil personnalisée est définie via les clés de registre mentionnées par Microsoft, Outlook télécharge et affiche cette page HTML au lieu des éléments habituels de la boîte de réception (inbox, calendrier, etc.). Cela permet d’exécuter des scripts VBScript ou JScript dans un contexte privilégié, offrant un accès quasi complet au système local.

Bien qu’un appareil doive d’abord être compromis pour configurer l’entrée de registre d’Outlook, une fois cette configuration effectuée, les attaquants peuvent utiliser cette technique pour maintenir leur accès et se propager à d’autres systèmes. Étant donné qu’outlook.exe est un processus de confiance, cela facilite l’évasion des logiciels de sécurité existants lors de l’exécution des commandes.

Historique des Attaques

Il y a cinq ans, le Commandement Cybernétique des États-Unis (US CyberCom) avait déjà mis en garde contre la vulnérabilité CVE-2017-11774, qui avait été utilisée pour cibler des agences gouvernementales américaines. Des chercheurs en sécurité de Chronicle, FireEye et Palo Alto Networks ont par la suite lié ces attaques à un groupe de cyberespionnage soutenu par l’Iran, connu sous le nom d’APT33.

FireEye a observé pour la première fois l’utilisation de CVE-2017-11774 par APT34 en juin 2018, suivie par APT33 qui a adopté cette méthode pour une campagne beaucoup plus large à partir de juillet 2018, se poursuivant pendant au moins un an.

Flare

Tags:
Shares:
Show Comments (0)
Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *