Specula verwandelt Outlook in ein C2-Tool

Table of Contents

TrustedSec hat Specula veröffentlicht, ein Framework, das über eine Schwachstestelle von 2017 die Outlook-E-Mail-Client-Homepage-Funktion ausnutzt, um es in ein Beaconing C2-Agent umzuwandeln. Diese Technik erfordert nur eine einzige nicht-privilegierte Registry-Änderung, wodurch Angreifer persistenten Zugriff auf Netzwerke erhalten können, ohne dass dies oft bemerkt wird.

Outlook.exe ist ein vertrauenswürdiger Prozess, was diese Methode besonders gefährlich macht. Trotz früherer Berichte bleibt dies eine Schwachstelle in vielen gut gesicherten Netzwerken.

Outlook-Homepage-Funktion wird genutzt, um HTML-Seiten anstelle der normalen E-Mail-Ansichten (Posteingang, Kalender etc.) zu laden. Über diese HTML-Seiten können vbscript oder jscript im privilegierten Kontext ausgeführt werden, was umfassenden Zugriff auf das System ermöglicht.

So verhindert man Specula Angriffe

  1. Verwendung des “Neuen Outlook”, der keine COM-Erweiterungen unterstützt.
  2. Deaktivieren der vbscript-Engine in Windows 11.
  3. Verwendung von Gruppenrichtlinien zur Sperrung der relevanten Registry-Schlüssel.
  4. Einsatz des Microsoft Security Compliance Toolkit zur Absicherung des Web-Engines.

Related Posts

Telerik Report Server RCE Sicherheitslücke erfordert sofortiges patchen

Im Juli 2024 wurde die kritische RCE Sicherheitslücke CVE-2024-6327 entdeckt, die Progress Telerik Report Server-Versionen vor 2024 Q2 (10.1.24.709) betrifft. Die Schwachstelle hat CVSS-Bewertung von 9.9/10 und wurde am 24. Juli 2024 veröffentlicht. Sie ermöglicht eine Remote-Code-Ausführung durch unsichere Deserialisierung von nicht vertrauenswürdigen Daten (CWE-502).

Read More

Kritische SQL-Injection-Schwachstelle in 1Panel gefunden

In der Software 1Panel wurde eine kritische SQL-Injection-Schwachstelle entdeckt, die mit der orderBy-Klausel zusammenhängt. Diese Schwachstelle, die als CVE-2024-39907 identifiziert wurde, ermöglicht Remote Code Execution (RCE) und Datenlecks.

Read More

Authentifizierungsschwachstelle in Google Workspace gefixt

Am 26. Juli 2024 berichtete KrebsOnSecurity, dass Kriminelle durch eine Schwachstelle Googles E-Mail-Verifizierung umgangen haben, um Google Workspace-Konten zu erstellen und auf Drittanbieterdienste zuzugreifen, die die Funktion „Mit Google anmelden“ verwenden. Dadurch konnten sie sich als Domain-Inhaber gegenüber Drittanbieterdiensten ausgeben.

Read More