TrustedSec hat Specula veröffentlicht, ein Framework, das über eine Schwachstestelle von 2017 die Outlook-E-Mail-Client-Homepage-Funktion ausnutzt, um es in ein Beaconing C2-Agent umzuwandeln. Diese Technik erfordert nur eine einzige nicht-privilegierte Registry-Änderung, wodurch Angreifer persistenten Zugriff auf Netzwerke erhalten können, ohne dass dies oft bemerkt wird.
Outlook.exe ist ein vertrauenswürdiger Prozess, was diese Methode besonders gefährlich macht. Trotz früherer Berichte bleibt dies eine Schwachstelle in vielen gut gesicherten Netzwerken.
Outlook-Homepage-Funktion wird genutzt, um HTML-Seiten anstelle der normalen E-Mail-Ansichten (Posteingang, Kalender etc.) zu laden. Über diese HTML-Seiten können vbscript oder jscript im privilegierten Kontext ausgeführt werden, was umfassenden Zugriff auf das System ermöglicht.
So verhindert man Specula Angriffe
- Verwendung des „Neuen Outlook“, der keine COM-Erweiterungen unterstützt.
- Deaktivieren der vbscript-Engine in Windows 11.
- Verwendung von Gruppenrichtlinien zur Sperrung der relevanten Registry-Schlüssel.
- Einsatz des Microsoft Security Compliance Toolkit zur Absicherung des Web-Engines.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: