Microsoft Outlook 可变成 C2 信标来远程执行代码，网络安全公司 TrustedSec 本周发布的全新红队后利用框架“Specula”就证明了这一点。

该 C2 框架通过利用 CVE-2017-11774（2017 年 10 月修补的 Outlook 安全功能绕过漏洞）使用 WebView 创建自定义 Outlook 主页。

微软表示：“在文件共享攻击场景中，攻击者可以提供专门为利用该漏洞而设计的文档文件，然后诱使用户打开该文档文件并与文档进行交互。”

然而，即使微软修补了该漏洞并删除了显示 Outlook 主页的用户界面，攻击者仍然可以使用 Windows 注册表值创建恶意主页，即使在安装了最新 Office 365 版本的系统上也是如此。

正如 Trusted 所解释的那样，Specula 纯粹在 Outlook 环境中运行，其工作原理是通过调用交互式 Python Web 服务器的注册表项设置自定义 Outlook 主页。

为此，非特权威胁者可以在 HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\WebView\ 下的 Outlook WebView 注册表项中将 URL 目标设置为他们控制的外部网站。

Outlook Specula 注册表值

攻击者控制的 Outlook 主页旨在提供自定义 VBscript 文件，攻击者可使用该文件在受感染的 Windows 系统上执行任意命令。

TrustedSec 表示：“尽管目前已有相关知识和预防措施，但 TrustedSec 仍能够利用这一特定渠道对数百个客户端进行初始访问。当通过 Microsoft 在其解决方法中列出的任何注册表项设置自定义主页时，Outlook 将在选择相关选项卡时下载并显示该 HTML 页面，而不是显示正常的邮箱元素（收件箱、日历、已发送等）。

从下载的 HTML 页面，可以在特权上下文中运行 vbscript 或 jscript，或多或少可以完全访问本地系统，就像运行 cscript / wscript.exe 一样。

虽然首先需要入侵设备才能配置 Outlook 注册表项，但一旦配置完成，攻击者就可以使用此技术实现持久性并横向传播到其他系统。

由于 outlook.exe 是一个受信任的进程，因此攻击者在执行命令时可以更轻松地逃避现有软件。

正如美国网络司令部（US CyberCom）五年前警告的那样，CVE-2017-11774 Outlook 漏洞也被用来攻击美国政府机构。

Chronicle、FireEye 和 Palo Alto Networks 的安全研究人员后来将这些攻击与伊朗支持的 APT33 网络间谍组织联系起来。

FireEye 网络安全研究人员表示，FireEye 于 2018 年 6 月首次观察到 APT34 使用 CVE-2017-11774，随后 APT33 从 2018 年 7 月开始采用该漏洞进行范围更广的攻击活动，并持续了至少一年。

参考及来源：https://www.bleepingcomputer.com/news/security/new-specula-tool-uses-outlook-for-remote-code-execution-in-windows/