A empresa de segurança cibernética TrustedSec introduziu o “Specula”, uma estrutura voltada para estágios de pós-exploração e visando o Microsoft Outlook. A Microsoft diz que a ferramenta explora a vulnerabilidade CVE-2017-11774, permitindo a execução remota de código por meio da manipulação do Registro do Home windows, apesar de um patch de outubro de 2017 da Microsoft. Os invasores ainda exploram essa falha alterando configurações específicas do registro.
Mecanismos por trás dos espéculos
Specula configura uma dwelling web page personalizada do Outlook por meio de certas chaves de registro do Home windows, redirecionando o Outlook para um web site controlado pelo invasor. Ele modifica chaves em HKEY_CURRENT_USERSoftwareMicrosoftOffice16.0OutlookWebView, facilitando a exibição de arquivos VBScript que podem executar comandos arbitrários na máquina afetada.
Uma vez que um sistema é comprometido, os invasores empregam Specula para proteger a persistência e o movimento lateral dentro de uma rede. Como o Outlook.exe é um processo confiável, essa abordagem evita a detecção pela maioria das ferramentas de segurança. A metodologia foi usada anteriormente pelo grupo APT33, ligado a interesses do estado iraniano, para violar sistemas do governo dos EUA, conforme observado por especialistas em segurança da Chronicle, FireEye e Palo Alto Networks.
Uso histórico e ameaças atuais
A vulnerabilidade CVE-2017-11774 tem um histórico de exploração para esforços de espionagem cibernética. Inicialmente identificada pelos pesquisadores do SensePost, a falha permite contornar a estrutura de segurança do Outlook por meio do redirecionamento de URL da página inicial para um web site malicioso. Embora a Microsoft tenha removido a interface para definir as páginas iniciais do Outlook, os invasores continuam a explorar isso usando valores de registro.
Várias iterações do Microsoft Outlook, incluindo as versões 2010, 2013 e 2016, são impactadas por essa vulnerabilidade. As atualizações de segurança da Microsoft visavam bloquear modificações de configuração da dwelling web page por meio de alterações de registro, mas a ameaça persiste devido a sistemas sem patches ou novas técnicas de manipulação.
Recomendações de segurança para organizações
As organizações devem garantir a aplicação de atualizações de segurança recentes e medidas de proteção adicionais, como monitoramento de alterações de registro e limitação de privilégios de usuário. A estrutura Specula da TrustedSec chama a atenção para riscos contínuos relacionados a essa vulnerabilidade, enfatizando a necessidade de práticas de segurança sólidas para mitigar ameaças potenciais.
