Microsoft Outlook 可变成 C2 信标来远程执行代码，网络安全公司 TrustedSec 本周发布的全新红队后利用框架 "Specula" 就证明了这一点。

该 C2 框架通过利用 CVE-2017-11774（2017 年 10 月修补的 Outlook 安全功能绕过漏洞）使用 WebView 创建自定义 Outlook 主页。

微软表示：" 在文件共享攻击场景中，攻击者可以提供专门为利用该漏洞而设计的文档文件，然后诱使用户打开该文档文件并与文档进行交互。"

然而，即使微软修补了该漏洞并删除了显示 Outlook 主页的用户界面，攻击者仍然可以使用 Windows 注册表值创建恶意主页，即使在安装了最新 Office 365 版本的系统上也是如此。

正如 Trusted 所解释的那样，Specula 纯粹在 Outlook 环境中运行，其工作原理是通过调用交互式 Python Web 服务器的注册表项设置自定义 Outlook 主页。

为此，非特权威胁者可以在 HKEY_CURRENT_USERSoftwareMicrosoftOffice16.0OutlookWebView 下的 Outlook WebView 注册表项中将 URL 目标设置为他们控制的外部网站。

Outlook Specula 注册表值

攻击者控制的 Outlook 主页旨在提供自定义 VBscript 文件，攻击者可使用该文件在受感染的 Windows 系统上执行任意命令。

TrustedSec 表示：" 尽管目前已有相关知识和预防措施，但 TrustedSec 仍能够利用这一特定渠道对数百个客户端进行初始访问。当通过 Microsoft 在其解决方法中列出的任何注册表项设置自定义主页时，Outlook 将在选择相关选项卡时下载并显示该 HTML 页面，而不是显示正常的邮箱元素（收件箱、日历、已发送等）。

从下载的 HTML 页面，可以在特权上下文中运行 vbscript 或 jscript，或多或少可以完全访问本地系统，就像运行 cscript / wscript.exe 一样。

虽然首先需要入侵设备才能配置 Outlook 注册表项，但一旦配置完成，攻击者就可以使用此技术实现持久性并横向传播到其他系统。

由于 outlook.exe 是一个受信任的进程，因此攻击者在执行命令时可以更轻松地逃避现有软件。

正如美国网络司令部（US CyberCom）五年前警告的那样，CVE-2017-11774 Outlook 漏洞也被用来攻击美国政府机构。

Chronicle、FireEye 和 Palo Alto Networks 的安全研究人员后来将这些攻击与伊朗支持的 APT33 网络间谍组织联系起来。

FireEye 网络安全研究人员表示，FireEye 于 2018 年 6 月首次观察到 APT34 使用 CVE-2017-11774，随后 APT33 从 2018 年 7 月开始采用该漏洞进行范围更广的攻击活动，并持续了至少一年。