Tutoriales

BadOutlook: Conferenciante de Outlook solapado 2021! Kalilinuxtutorials

BadOutlook es un PoC simple que aprovecha la interfaz de aplicación de Outlook (interfaz COM) para ejecutar shellcode en un sistema basado en una rasgo de asunto de activación específica.

Utilizando el Microsoft.Office.Interop.Outlook espacio de nombres, los desarrolladores pueden representar la aplicación Outlook completa (o al menos según Microsoft). Esto significa que la nueva aplicación debería poder hacer cualquier cosa, desde descifrar correos electrónicos (sí, esto además incluye archivos, basura, etc.) hasta enviarlos.

Sobre la almohadilla de los millones de cargadores de shellcode de C # preexistentes, se puede despachar un correo electrónico con una rasgo de asunto de activación y un shellcode codificado en base64 en el cuerpo con una instancia armada de este software. Luego, el software leerá el correo electrónico y ejecutará el código shell incrustado en el correo electrónico.

Notas adicionales

  • Esto se puede usar para construir un situación C2 completo que se pedestal en los correos electrónicos como medio de comunicación (donde el implante nunca deje directamente a Internet)
  • Parece ocurrir una advertencia de seguridad que informa al agraciado de una aplicación que intenta entrar a los datos de Outlook.
    • Esto se puede desactivar cuando un administrador modifica el registro como se muestra aquí.
    • Pruebas menores mostraron que la inyección de este proceso en un cliente de Outlook no hace que aparezca la alerta (las pruebas adicionales serían muy adecuadas <3)

PoC

  • Perspectiva de sonsaca de aplicaciones para disparador
  • Activar el correo electrónico con la creación de Shellcode
  • Correo electrónico recibido por el cliente de Outlook
  • Ejecución de Shellcode por la aplicación BadOutlook

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba