Specula verwandelt Outlook in ein C2-Tool
Table of Contents
TrustedSec hat Specula veröffentlicht, ein Framework, das über eine Schwachstestelle von 2017 die Outlook-E-Mail-Client-Homepage-Funktion ausnutzt, um es in ein Beaconing C2-Agent umzuwandeln. Diese Technik erfordert nur eine einzige nicht-privilegierte Registry-Änderung, wodurch Angreifer persistenten Zugriff auf Netzwerke erhalten können, ohne dass dies oft bemerkt wird.
Outlook.exe ist ein vertrauenswürdiger Prozess, was diese Methode besonders gefährlich macht. Trotz früherer Berichte bleibt dies eine Schwachstelle in vielen gut gesicherten Netzwerken.
Outlook-Homepage-Funktion wird genutzt, um HTML-Seiten anstelle der normalen E-Mail-Ansichten (Posteingang, Kalender etc.) zu laden. Über diese HTML-Seiten können vbscript oder jscript im privilegierten Kontext ausgeführt werden, was umfassenden Zugriff auf das System ermöglicht.
So verhindert man Specula Angriffe
- Verwendung des “Neuen Outlook”, der keine COM-Erweiterungen unterstützt.
- Deaktivieren der vbscript-Engine in Windows 11.
- Verwendung von Gruppenrichtlinien zur Sperrung der relevanten Registry-Schlüssel.
- Einsatz des Microsoft Security Compliance Toolkit zur Absicherung des Web-Engines.