Specula aracı, Microsoft Outlook’u keyfi komutları çalıştırabilen bir C2 Sunucusuna dönüştürmek için bir Kayıt Defteri kullanır.
Temel olarak Specula, Outlook ana sayfa özelliğini kullanan bir C2 çerçevesidir. Bu vektöre saldırabilen bir ana sayfa geliştirme yeteneğini ortaya koyar.
Outlook ana sayfasını istismar etme yeteneği ifşa edildi ve CVE-2017-11774 olarak tanımlandı.
Bu güvenlik açığı, Microsoft Office’in bellekteki nesneleri işleme biçimine bağlı olarak bir saldırganın keyfi komutlar yürütmesine olanak tanıyor ve “Microsoft Outlook Güvenlik Özelliği Atlatma Güvenlik Açığı” olarak tanımlanıyor.
FireEye, APT34’ün CVE-2017-11774’ü kullandığını ilk olarak Haziran 2018’de fark etti. APT33 daha sonra bunu Temmuz 2018’de başlayan ve en az bir yıl süren çok daha büyük bir kampanya için benimsedi.
Microsoft, Microsoft Outlook’un bellek nesnelerini yönetme biçimini değiştirerek bu güvenlik açığını gideriyor.
Ne yazık ki, mevcut Office 365 yüklemelerinde bile Outlook, kaldırılan kullanıcı arayüzü öğeleri kullanıldığında ayarlanmış olan Kayıt Defteri değerlerini kullanmaya devam ediyor.
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide
TrustedSec araştırmacıları, “Bir saldırgan ayrıcalıklı olmayan tek bir Kayıt Defteri anahtarını değiştirebilirse, bunun yamalı bir teknik olduğu düşünülmesine rağmen bir C2 kanalı kurulabilir” dedi.
Kayıt Defteri Değerini Ayarlama
İlk erişim için gerekli Kayıt değerinin nasıl belirleneceği grafiksel bir tasvirle gösterilmiştir.
Araştırmacılar, Microsoft’un geçici çözümünde açıklanan herhangi bir Kayıt Defteri anahtarının özel bir ana sayfa tanımlamak için kullanılması durumunda, ilgili sekme seçildiğinde Outlook’un standart posta kutusu öğeleri (gelen kutusu, takvim, gönderilenler vb.) yerine bu HTML sayfasını indirip görüntüleyeceğini söylüyor.
Jscript ve VBScript, indirilen HTML sayfasından ayrıcalıklı bir bağlamda çalıştırılır ve tıpkı script veya wscript.exe gibi yerel sisteme neredeyse tam erişim hakkı verir.
Bazı kısıtlamalar bu erişim derecesini engelleyebilir, ancak bunlar da ayrıcalıklı olmayan kullanıcıların erişebildiği Kayıt defteri anahtarları aracılığıyla yönetilir.
Araştırmacılar, “Specula aracılığıyla işlenen ve döndürülen kaynaklar, güvenilir bir bağlam içinde vbscript yürütülmesine olanak tanır. Ayrıca, yöntemleri bir IDispatch arayüzü aracılığıyla açığa çıkaran herhangi bir COM nesnesine tam erişime izin verilir” dedi.
Başlangıçta bir cihazda Outlook Kayıt Defterinin tehlikeye atılması gerekse de, saldırganlar bu tekniği kullanarak hedef cihazda aktif kalabilir ve bilgileri yaygınlaştırabilirler.
Bu nedenle, HKCU\Software\Microsoft\Office\16.0\Outlook\WebView\ altında bir URL değeri eklendiyse veya zaten mevcutsa, izlemeyi ayarlamanız önerilir.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access