资安公司TrustedSec发布了红队渗透工具微软在2017年时修复CVE-2017-11774,该漏洞是Outlook安全功能的旁路问题,使得攻击者得以利用经特别设计的文件,诱导用户开启后执行任意命令。微软透过安全更新,改善Outlook处理记忆体物件的方式解决该漏洞。
用户在安装修补程式之后,虽然与Outlook主页相关的介面元素会消失,但是注册表值仍然可以被滥用,攻击者透过修改非特权的注册表键来建立C2通道,使得攻击向量仍然有效。即便用户使用的是Office 365,Outlook还是可能会读取并使用已遭删除的介面元素注册表值。
而Specula的运作方式是透过修改注册表键值,来设置自定义Outlook主页。当使用者选定特定标签时,Outlook便会显示攻击者指定的HTML页面,当这些页面以特权执行VBScript或JScript,便能让攻击者完全存取本地系统。
Specula还能运用Outlook提供的COM物件,使自定义页面看起来像是正常运作的页面,但同时又在背景执行额外的程式码,甚至定时下载并执行恶意资源,达到持续控制系统的目的。
研究人员提供数项可以防范主页攻击的方法。透过使用不相容COM的Outlook更新版本,便能有效消除包括主页攻击在内的攻击路径。而在新的Windows 11版本中,用户将可以移除vbscript引擎,而这也限制了vbscript执行程式码的攻击向量。
透过群组政策物件(Group Policy Object,GPO)也可防范主页攻击,GPO配置可停用WebView功能。抑或是运用微软Security Compliance Toolkit,锁定Outlook的网页引擎,避免其执行脚本,也是避免Outlook主页攻击的方法之一。