Redazione RHC : 30 Luglio 2024 17:41
Recentemente, TrustedSec ha introdotto un nuovo strumento per attività di attacco contro Microsoft Outlook, chiamato “Specula”. Questo strumento consente agli aggressori di eseguire codice da remoto utilizzando Outlook come piattaforma di comando e controllo (C2).
Specula si basa sulla vulnerabilità CVE-2017-11774 che è stata corretta da Microsoft ad ottobre 2017. Questa falla di sicurezza ti consente di aggirare i meccanismi di sicurezza di Outlook e creare una home page personalizzata utilizzando WebView.
Secondo Microsoft, gli aggressori possono fornire documenti appositamente predisposti che sfruttano questa vulnerabilità. L’apertura di tali documenti da parte degli utenti può portare alla compromissione del sistema.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Nonostante la correzione della vulnerabilità e la rimozione dell’interfaccia per la visualizzazione delle home page di Outlook, gli aggressori possono comunque creare pagine dannose modificando i valori del registro di Windows, anche nelle ultime versioni di Office 365.
Specula funziona nel contesto di Outlook, permette di creare una home page personalizzata tramite chiavi di registro che puntano a un sito esterno controllato dagli aggressori. Queste chiavi si trovano nella chiave di registro “HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\WebView\”.
Gli aggressori possono utilizzare pagine di Outlook appositamente predisposte per avviare file VBScript, consentendo loro di eseguire comandi arbitrari su sistemi compromessi. TrustedSec rileva che questo metodo è stato utilizzato con successo per accedere a centinaia di clienti, pur disponendo delle più recenti conoscenze in materia di igiene digitale e adottando misure preventive.
Quando viene impostata una home page personalizzata tramite chiavi di registro, Outlook carica e visualizza la pagina HTML anziché il contenuto standard come posta o calendario. Da questa pagina puoi eseguire VBScript o JScript con privilegi simili all’esecuzione di script tramite cscript o wscript.
Il dispositivo deve essere compromesso per configurare inizialmente il registro. Da quel momento gli aggressori possono utilizzare questo metodo per mantenere l’accesso e diffondersi ad altri sistemi. Poiché il processo “outlook.exe” è affidabile, è più semplice aggirare le misure di sicurezza esistenti.
Cinque anni fa, US CyberCom ha avvertito che la vulnerabilità CVE-2017-11774 veniva utilizzata per attaccare le agenzie governative statunitensi. I ricercatori di sicurezza di Chronicle, FireEye e Palo Alto Networks hanno successivamente collegato gli attacchi al gruppo di hacker iraniano APT33.
FireEye ha riferito di aver osservato per la prima volta il CVE-2017-11774 utilizzato da APT34 nel giugno 2018, dopodiché APT33 ha avviato una campagna più ampia nel luglio 2018 che è durata almeno un anno.
RedazioneSu un popolare forum dedicato alle fughe di dati è apparso un annuncio pubblicitario per la vendita di un database che presumibilmente contiene 15,8 milioni di account PayPal con indirizzi email ...
Una complessa operazione di attacco è stata individuata recentemente, nella quale gli aggressori digitali utilizzano la struttura di protezione Cisco per eseguire manovre di inganno online. I mal...
A cura di Luca Stivali e Roland Kapidani. Nel giro di dieci giorni un nickname mai visto prima, mydocs, ha inondato un dark forum con una serie di thread tutti uguali: stesso template, stessa call-to-...
Un ricercatore esperto in sicurezza informatica ha scoperto che centinaia di server TeslaMate in tutto il mondo trasmettono apertamente i dati dei veicoli Tesla senza alcuna protezione. Ciò signi...
Il 23 luglio 2025, Tesla tenne la sua conference call sui risultati del secondo trimestre. Elon Musk , come di consueto, trasmise a Wall Street il suo contagioso ottimismo. Parlando di Dojo, il superc...
