Sdílet prostřednictvím

Detekce a náprava pravidel outlooku a vlastních útoků pomocí injektáže Forms

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.

Shrnutí Zjistěte, jak rozpoznat a napravit pravidla Outlooku a útoky pomocí vlastních Forms injektáže v Office 365.

Co jsou pravidla Outlooku a vlastní útok Forms injektáže?

Poté, co útočník získá přístup k vaší organizaci, se pokusí vytvořit oporu, aby zůstal ve vaší organizaci nebo se vrátil po zjištění. Tato aktivita se nazývá vytvoření mechanismu trvalosti. Existují dva způsoby, jak může útočník použít Outlook k vytvoření mechanismu trvalosti:

  • Zneužitím pravidel Outlooku.
  • Vložením vlastních formulářů do Outlooku.

Přeinstalace Outlooku nebo dokonce poskytnutí nového počítače postižené osobě nepomůže. Když se nová instalace Outlooku připojí k poštovní schránce, všechna pravidla a formuláře se synchronizují z cloudu. Pravidla nebo formuláře jsou obvykle navrženy tak, aby spouštět vzdálený kód a instalovat malware na místním počítači. Malware krade přihlašovací údaje nebo provádí jinou nedovolenou aktivitu.

Dobrou zprávou je, že pokud necháte klienty Outlooku opravené na nejnovější verzi, nejste touto hrozbou ohroženi, protože aktuální výchozí nastavení klienta Outlooku blokují oba mechanismy.

Útoky se obvykle řídí těmito vzory:

Zneužití pravidel:

  1. Útočník ukradne přihlašovací údaje uživatele.
  2. Útočník se přihlásí k poštovní schránce Exchange daného uživatele (Exchange Online nebo místní Exchange).
  3. Útočník vytvoří v poštovní schránce pravidlo doručené pošty pro přeposílání. Pravidlo přeposílání se aktivuje, když poštovní schránka obdrží od útočníka konkrétní zprávu, která odpovídá podmínkám pravidla. Podmínky pravidel a formát zpráv jsou vzájemně přizpůsobené.
  4. Útočník odešle aktivační e-mail do ohrožené poštovní schránky, kterou nic netušící uživatel stále používá jako obvykle.
  5. Když poštovní schránka obdrží zprávu, která odpovídá podmínkám pravidla, použije se akce pravidla. Akce pravidla obvykle spočívá ve spuštění aplikace na vzdáleném serveru (WebDAV).
  6. Aplikace obvykle nainstaluje malware na počítač uživatele (například PowerShell Empire).
  7. Malware umožňuje útočníkovi ukrást (nebo znovu ukrást) uživatelské jméno a heslo uživatele nebo jiné přihlašovací údaje z místního počítače a provádět další škodlivé aktivity.

Forms Exploit:

  1. Útočník ukradne přihlašovací údaje uživatele.
  2. Útočník se přihlásí k poštovní schránce Exchange daného uživatele (Exchange Online nebo místní Exchange).
  3. Útočník vloží do poštovní schránky uživatele vlastní šablonu e-mailového formuláře. Vlastní formulář se aktivuje, když poštovní schránka obdrží od útočníka konkrétní zprávu, která vyžaduje, aby poštovní schránka načetla vlastní formulář. Vlastní formulář a formát zprávy jsou šité na míru.
  4. Útočník odešle aktivační e-mail do ohrožené poštovní schránky, kterou nic netušící uživatel stále používá jako obvykle.
  5. Když poštovní schránka obdrží zprávu, poštovní schránka načte požadovaný formulář. Formulář spustí aplikaci na vzdáleném serveru (WebDAV).
  6. Aplikace obvykle nainstaluje malware na počítač uživatele (například PowerShell Empire).
  7. Malware umožňuje útočníkovi ukrást (nebo znovu ukrást) uživatelské jméno a heslo uživatele nebo jiné přihlašovací údaje z místního počítače a provádět další škodlivé aktivity.

Jak by mohl Office 365 vypadat útok typu Pravidla a vlastní Forms injektáže?

Uživatelé si těchto mechanismů trvalosti pravděpodobně nevšimnou a můžou být pro ně dokonce neviditelní. Následující seznam popisuje znaky (indikátory ohrožení zabezpečení), které označují, že se vyžadují nápravné kroky:

  • Indikátory ohrožení pravidel:

    • Akce pravidla slouží ke spuštění aplikace.
    • Pravidlo Odkazuje na exe, ZIP nebo adresu URL.
    • Na místním počítači vyhledejte nové procesy, které pocházejí z PID Aplikace Outlook.

  • Indikátory ohrožení zabezpečení vlastních formulářů:

    • Vlastní formuláře jsou uložené jako vlastní třída zpráv.
    • Třída Message obsahuje spustitelný kód.
    • Škodlivé formuláře jsou obvykle uložené ve složkách Osobní knihovna Forms nebo Doručená pošta.
    • Formulář má název IPM. Poznámka. [vlastní název].

Kroky pro vyhledání známek tohoto útoku a jeho potvrzení

K potvrzení útoku můžete použít některou z následujících metod:

  • Pomocí klienta Outlooku ručně zkontrolujte pravidla a formuláře pro každou poštovní schránku. Tato metoda je důkladná, ale můžete zkontrolovat jenom jednu poštovní schránku najednou. Tato metoda může být velmi časově náročná, pokud máte mnoho uživatelů, které je potřeba zkontrolovat, a může také infikovat počítač, který používáte.

  • Pomocí powershellového skriptuGet-AllTenantRulesAndForms.ps1 automaticky vypisujte všechna pravidla přeposílání pošty a vlastní formuláře pro všechny uživatele ve vaší organizaci. Tato metoda je nejrychlejší a nejbezpečnější s nejnižší režií.

    Poznámka

    Od ledna 2021 je skript (a všechno ostatní v úložišti) jen pro čtení a archivuje se. Řádky 154 až 158 se pokusí připojit k Exchange Online PowerShellu pomocí metody, která už není podporovaná kvůli vyřazení vzdálených připojení PowerShellu v červenci 2023. Před spuštěním skriptu odeberte řádky 154 až 158 a připojte se k Exchange Online PowerShellu.

Potvrzení útoku pravidel pomocí klienta Outlooku

  1. Otevřete klienta Outlooku pro uživatele jako uživatele. Uživatel může potřebovat vaši pomoc se zkoumáním pravidel ve své poštovní schránce.

  2. Postupy, jak otevřít rozhraní pravidel v Outlooku, najdete v článku Správa e-mailových zpráv pomocí pravidel .

  3. Vyhledejte pravidla, která uživatel nevytvořil, nebo neočekávaná pravidla nebo pravidla s podezřelými názvy.

  4. V popisu pravidla vyhledejte akce pravidla, které se spustí a používají nebo odkazují na .EXE, .ZIP soubor nebo na spuštění adresy URL.

  5. Vyhledejte všechny nové procesy, které začínají používat ID procesu aplikace Outlook. Další informace najdete v tématu Vyhledání ID procesu.

Postup potvrzení útoku Forms pomocí klienta Outlooku

  1. Otevřete klienta outlooku uživatele jako uživatel.

  2. Postupujte podle pokynů v tématu Zobrazení karty Vývojář pro verzi Outlooku uživatele.

  3. Otevřete teď viditelnou kartu Vývojář v Outlooku a vyberte navrhnout formulář.

  4. V seznamu Hledat vyberte doručenou poštu. Vyhledejte všechny vlastní formuláře. Vlastní formuláře jsou tak vzácné, že pokud máte vlastní formuláře vůbec, stojí za to se podívat hlouběji.

  5. Prozkoumejte všechny vlastní formuláře, zejména formuláře označené jako skryté.

  6. Otevřete všechny vlastní formuláře a ve skupině Formulář vyberte Zobrazit kód a podívejte se, co se po načtení formuláře spustí.

Postup potvrzení pravidel a Forms útoku pomocí PowerShellu

Nejjednodušší způsob, jak ověřit útok na pravidla nebo vlastní formuláře, je spustit Get-AllTenantRulesAndForms.ps1 skript PowerShellu. Tento skript se připojí ke každé poštovní schránce ve vaší organizaci a vypisuje všechna pravidla a formuláře do dvou .csv souborů.

Požadavky

Musíte být členem role Globální správce* v Microsoft Entra ID nebo skupiny rolí Správa organizace v Exchange Online, protože skript se připojuje ke každé poštovní schránce v organizaci, aby četl pravidla a formuláře.

Důležité

* Microsoft doporučuje používat role s nejmenším oprávněním. Používání účtů s nižším oprávněním pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.

  1. Pomocí účtu s oprávněními místního správce se přihlaste k počítači, na kterém chcete skript spustit.

  2. Stáhněte nebo zkopírujte obsah skriptuGet-AllTenantRulesAndForms.ps1 z GitHubu do složky, ze které se skript snadno najde a spustí. Skript ve složce vytvoří dva soubory s datovým razítkem: MailboxFormsExport-yyyy-MM-dd.csv a MailboxRulesExport-yyyy-MM-dd.csv.

    Odeberte ze skriptu řádky 154 až 158, protože tato metoda připojení už od července 2023 nefunguje.

  3. Připojení k nástroji Exchange Online PowerShell.

  4. V PowerShellu přejděte do složky, do které jste skript uložili, a spusťte následující příkaz:

    .\Get-AllTenantRulesAndForms.ps1

Interpretace výstupu

  • MailboxRulesExport-yyyy-MM-dd.csv: Zkontrolujte pravidla (jedna na řádek) pro podmínky akcí, které zahrnují aplikace nebo spustitelné soubory:
    • ActionType (sloupec A): Pravidlo je pravděpodobně škodlivé, pokud tento sloupec obsahuje hodnotu ID_ACTION_CUSTOM.
    • IsPotentiallyMalicious (sloupec D):Pravidlo je pravděpodobně škodlivé, pokud tento sloupec obsahuje hodnotu TRUE.
    • ActionCommand (sloupec G): Pravidlo je pravděpodobně škodlivé, pokud tento sloupec obsahuje některou z následujících hodnot:
      • Aplikace.
      • Soubor .exe nebo .zip.
      • Neznámá položka, která odkazuje na adresu URL.
  • MailboxFormsExport-yyyy-MM-dd.csv: Obecně platí, že použití vlastních formulářů je vzácné. Pokud nějakou v tomto sešitu najdete, otevřete poštovní schránku daného uživatele a prohlédněte si formulář. Pokud ho tam vaše organizace nedála záměrně, je pravděpodobně škodlivý.

Jak zastavit a napravit pravidla aplikace Outlook a Forms útok

Pokud najdete nějaké důkazy o některém z těchto útoků, je náprava jednoduchá: stačí odstranit pravidlo nebo formulář v poštovní schránce. Pravidlo nebo formulář můžete odstranit pomocí klienta Outlooku nebo pomocí Prostředí Exchange PowerShell.

Používání Outlooku

  1. Identifikujte všechna zařízení, na kterých uživatel používal Outlook. Všechny musí být vyčištěny od potenciálního malwaru. Nepovolujte uživateli přihlášení a používání e-mailu, dokud se nevyčistí všechna zařízení.

  2. Na každém zařízení postupujte podle kroků v tématu Odstranění pravidla.

  3. Pokud si nejste jistí přítomností jiného malwaru, můžete veškerý software na zařízení naformátovat a znovu nainstalovat. U mobilních zařízení můžete podle pokynů výrobce obnovit tovární image zařízení.

  4. Nainstalujte nejnovější verze Outlooku. Mějte na paměti, že aktuální verze Outlooku ve výchozím nastavení blokuje oba typy tohoto útoku.

  5. Po odebrání všech offline kopií poštovní schránky proveďte následující kroky:

    Tento postup zajistí, že přihlašovací údaje uživatele nebudou zpřístupněny jinými prostředky (například phishingem nebo opětovným použitím hesla).

Použití PowerShellu

Připojte se k požadovanému prostředí Exchange PowerShellu:

Po připojení k požadovanému prostředí Exchange PowerShellu můžete s pravidly doručené pošty v poštovních schránkách uživatelů provést následující akce:

  • Zobrazení pravidel doručené pošty v poštovní schránce:

    • Zobrazení souhrnného seznamu všech pravidel

      Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com

    • Zobrazení podrobných informací o konkrétním pravidlu:

      Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name" | Format-List

    Podrobné informace o syntaxi a parametrech najdete v tématu Get-InboxRule.

  • Odebrání pravidel doručené pošty z poštovní schránky:

    • Odebrání konkrétního pravidla:

      Remove-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name"

    • Odebrat všechna pravidla:

      Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com | Remove-InboxRule

    Podrobné informace o syntaxi a parametrech najdete v tématu Remove-InboxRule.

  • Vypnutí pravidla doručené pošty pro další šetření:

    Disable-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name"

    Podrobné informace o syntaxi a parametrech najdete v tématu Disable-InboxRule.

Jak minimalizovat budoucí útoky

První: ochrana účtů

Zneužití pravidel a Forms používá útočník pouze poté, co mu někdo ukradl nebo prolomil uživatelský účet. Prvním krokem, jak zabránit použití těchto zneužití ve vaší organizaci, je tedy agresivní ochrana uživatelských účtů. Mezi nejběžnější způsoby, jak se účty prolomí, patří útoky phishing nebo útoky typu Password Spray.

Nejlepší způsob, jak chránit uživatelské účty (zejména účty správců), je nastavit vícefaktorové ověřování pro uživatele. Měli byste také:

  • Sledujte, jak se k uživatelským účtům přistupuje a jak se používají. Prvnímu porušení zabezpečení nemusíte zabránit, ale můžete zkrátit dobu trvání a účinky porušení tím, že ho dříve zjistíte. Pomocí těchto zásad Office 365 Cloud App Security můžete monitorovat účty a upozorňovat na neobvyklou aktivitu:

    • Několik neúspěšných pokusů o přihlášení: Aktivuje upozornění, když uživatelé v jedné relaci provedou více neúspěšných aktivit přihlášení s ohledem na naučené standardní hodnoty, což může znamenat pokus o porušení zabezpečení.

    • Nemožné cestování: Aktivuje výstrahu, když jsou od stejného uživatele zjištěny aktivity na různých místech v časovém období, které je kratší než očekávaná doba trvání cesty mezi těmito dvěma umístěními. Tato aktivita může znamenat, že stejný přihlašovací údaje používá jiný uživatel. Zjištění tohoto neobvyklého chování vyžaduje počáteční dobu učení sedmi dnů, abyste se naučili vzor aktivity nového uživatele.

    • Neobvyklá zosobněná aktivita (uživatelem): Aktivuje výstrahu, když uživatelé v jedné relaci provádějí více zosobněných aktivit s ohledem na naznačené směrné hodnoty, což může znamenat pokus o porušení zabezpečení.

  • Ke správě konfigurací zabezpečení účtu a chování použijte nástroj, jako je Office 365 Skóre zabezpečení.

Za druhé: Udržujte klienty Outlooku v aktuálním stavu

Plně aktualizované a opravené verze Outlooku 2013 a 2016 ve výchozím nastavení zakazují akci pravidla nebo formuláře Spustit aplikaci. I když útočník účet prolomí, zablokují se akce pravidla a formuláře. Nejnovější aktualizace a opravy zabezpečení můžete nainstalovat podle pokynů v tématu Instalace aktualizací Office.

Tady jsou verze oprav pro klienty Outlooku 2013 a 2016:

  • Outlook 2016: 16.0.4534.1001 nebo vyšší.
  • Outlook 2013: 15.0.4937.1000 nebo vyšší.

Další informace o jednotlivých opravách zabezpečení najdete tady:

Za třetí: Monitorování klientů Outlooku

I když jsou nainstalované opravy a aktualizace, může útočník změnit konfiguraci místního počítače, aby znovu umožnil chování spustit aplikaci. Službu Advanced Zásady skupiny Management můžete použít k monitorování a vynucování zásad místního počítače na klientských zařízeních.

Informace v tématu Jak zobrazit systémový registr pomocí 64bitových verzí Systému Windows zjistíte, jestli bylo znovu povoleno spuštění aplikace prostřednictvím přepsání registru. Zkontrolujte tyto podklíče:

  • Outlook 2016:HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Security\
  • Outlook 2013: HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Security\

Vyhledejte klíč EnableUnsafeClientMailRules:

  • Pokud je hodnota 1, oprava zabezpečení aplikace Outlook byla přepsána a počítač je ohrožený útokem na formulář nebo pravidla.
  • Pokud je hodnota 0, akce Spustit aplikaci je zakázaná.
  • Pokud klíč registru není k dispozici a je nainstalovaná aktualizovaná a opravená verze Outlooku, není systém vůči těmto útokům zranitelný.

Zákazníci s místními instalacemi Exchange by měli zvážit blokování starších verzí Outlooku, které nemají k dispozici opravy. Podrobnosti o tomto procesu najdete v článku Konfigurace blokování klienta Aplikace Outlook.

Viz také: