Outlook

マイクロソフト・アウトルックは、リモートでコードを実行するためのC2ビーコンに変身することができる。これは、サイバーセキュリティ企業TrustedSecが本日発表した、レッドチームの新しいポストエクスプロイト・フレームワーク「Specula」によって実証された。

このC2フレームワークは、2017年10月にパッチが適用されたOutlookのセキュリティ機能バイパスの脆弱性であるCVE-2017-11774を悪用し、WebViewを使用してカスタムOutlookホームページを作成することで動作します。

「ファイル共有の攻撃シナリオでは、攻撃者は脆弱性を悪用するように設計された特別に細工された文書ファイルを提供し、ユーザーに文書ファイルを開いて文書とやりとりするよう説得することができる」とマイクロソフトは述べている。

しかし、マイクロソフトがこの欠陥にパッチを適用し、Outlookのホームページを表示するユーザーインターフェイスを削除したとしても、最新のOffice 365ビルドがインストールされたシステム上でさえ、攻撃者はWindowsレジストリの値を使用して悪意のあるホームページを作成することができる。

Trusted社が説明するように、Speculaは純粋にOutlookのコンテキスト内で動作し、インタラクティブなPythonウェブサーバーを呼び出すレジストリキーを介してカスタムOutlookホームページを設定することで機能する。

そのために、非特権脅威行為者は、HKEY_CURRENT_USERの下にあるOutlookのWebViewレジストリエントリにURLターゲットを設定することができる。

Outlook Specula registry value
Outlook Speculaレジストリ値(TrustedSec)

攻撃者が制御するOutlookのホームページは、攻撃者が侵害されたWindowsシステム上で任意のコマンドを実行するために使用できるカスタムVBscriptファイルを提供するように設計されています。

「TrustedSecは「TrustedSecは、この手法に関する既存の知識と利用可能な防止策にもかかわらず、何百ものクライアントで初期アクセスのためにこの特定のチャネルを活用することができました。

「マイクロソフトが回避策として示したレジストリ・キーのいずれかによってカスタム・ホームページが設定されると、Outlookは、関連するタブが選択されたときに、通常のメールボックス要素(受信トレイ、カレンダー、送信済みなど)の代わりに、そのHTMLページをダウンロードして表示する。

“ダウンロードされたHTMLページから、cscript / wscript.exeを実行しているかのように、ローカルシステムに多かれ少なかれフルアクセスできる特権コンテキスト内でvbscriptまたはjscriptを実行することができます。”

Outlookのレジストリエントリを設定するためには、まずデバイスに侵入する必要がありますが、一度設定されると、攻撃者はこのテクニックを使用して、他のシステムに横展開することができます。

outlook.exeは信頼されたプロセスであるため、攻撃者はコマンドを実行する際に既存のソフトウェアを回避しやすくなる。

米サイバーコマンド(US CyberCom)が5年前に警告したように、CVE-2017-11774 Outlookの脆弱性は米政府機関を標的にするためにも使われた。

Chronicle、FireEyePalo Alto Networksのセキュリティ研究者は後に、これらの攻撃をイランが支援するサイバー諜報グループAPT33と関連付けた。

FireEyeのサイバーセキュリティ研究者は当時、「FireEyeは2018年6月にAPT34がCVE-2017-11774を使用するのを初めて観測し、その後、2018年7月に始まり、少なくとも1年間継続するかなり広範なキャンペーンにAPT33が採用した」と述べている。