Registrer og afhjælp Outlook-regler og brugerdefinerede Forms injektionsangreb
Tip
Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde dig og prøvevilkår i Prøv Microsoft Defender for Office 365.
Resumé Få mere at vide om, hvordan du genkender og afhjælper Outlook-regler og brugerdefinerede Forms injektionsangreb i Office 365.
Hvad er Outlook-reglerne og det brugerdefinerede Forms injektionsangreb?
Når en person med ondsindede hensigter får adgang til din organisation, forsøger de at etablere et fodfæste for at blive i eller komme tilbage, når de er opdaget. Denne aktivitet kaldes oprettelse af en fastholdelsesmekanisme. En person med ondsindede hensigter kan bruge Outlook til at etablere en fastholdelsesmekanisme på to måder:
- Ved at udnytte Outlook-regler.
- Ved at indsætte brugerdefinerede formularer i Outlook.
Det hjælper ikke at geninstallere Outlook eller endda give den pågældende person en ny computer. Når den nye installation af Outlook opretter forbindelse til postkassen, synkroniseres alle regler og formularer fra cloudmiljøet. Reglerne eller formularerne er typisk designet til at køre fjernkode og installere malware på den lokale computer. Malwaren stjæler legitimationsoplysninger eller udfører andre ulovlige aktiviteter.
Den gode nyhed er: Hvis du holder Outlook-klienter lappet til den nyeste version, er du ikke sårbar over for truslen, da de aktuelle Standarder for Outlook-klienten blokerer begge mekanismer.
Angrebene følger typisk disse mønstre:
Udnyt reglerne:
- Hackeren stjæler en brugers legitimationsoplysninger.
- Hackeren logger på den pågældende brugers Exchange-postkasse (Exchange Online eller Exchange i det lokale miljø).
- Hackeren opretter en regel for videresendelse af Indbakke i postkassen. Videresendelsesreglen udløses, når postkassen modtager en bestemt meddelelse fra hackeren, der svarer til betingelserne i reglen. Regelbetingelserne og meddelelsesformatet skræddersys til hinanden.
- Hackeren sender den udløsende mail til den kompromitterede postkasse, som stadig bruges som normalt af den intetanende bruger.
- Når postkassen modtager en meddelelse, der opfylder betingelserne i reglen, anvendes reglens handling. Regelhandlingen er typisk at starte et program på en ekstern (WebDAV)-server.
- Programmet installerer typisk malware på brugerens computer (f.eks . PowerShell Empire).
- Malwaren gør det muligt for hackeren at stjæle (eller stjæle igen) brugerens brugernavn og adgangskode eller andre legitimationsoplysninger fra lokal computer og udføre andre skadelige aktiviteter.
Udnyttelse af Forms:
- Hackeren stjæler en brugers legitimationsoplysninger.
- Hackeren logger på den pågældende brugers Exchange-postkasse (Exchange Online eller Exchange i det lokale miljø).
- Hackeren indsætter en brugerdefineret mailformularskabelon i brugerens postkasse. Den brugerdefinerede formular udløses, når postkassen modtager en bestemt meddelelse fra hackeren, der kræver, at postkassen indlæser den brugerdefinerede formular. Den brugerdefinerede formular og meddelelsesformatet er skræddersyet til hinanden.
- Hackeren sender den udløsende mail til den kompromitterede postkasse, som stadig bruges som normalt af den intetanende bruger.
- Når postkassen modtager meddelelsen, indlæser postkassen den påkrævede formular. Formularen starter et program på en ekstern server (WebDAV).
- Programmet installerer typisk malware på brugerens computer (f.eks . PowerShell Empire).
- Malwaren gør det muligt for hackeren at stjæle (eller stjæle igen) brugerens brugernavn og adgangskode eller andre legitimationsoplysninger fra lokal computer og udføre andre skadelige aktiviteter.
Hvordan kan et angreb med regler og brugerdefinerede Forms injektion se ud som Office 365?
Det er usandsynligt, at brugerne bemærker disse fastholdelsesmekanismer, og de kan endda være usynlige for dem. På følgende liste beskrives de tegn (indikatorer for kompromis), der angiver, at afhjælpningstrin er påkrævet:
Indikatorer for forretningsordenen kompromitterer:
- Regelhandling er at starte et program.
- Regel henviser til en EXE-, ZIP- eller URL-adresse.
- På den lokale computer skal du søge efter nye processer, der stammer fra Outlook-PID'et.
Indikatorer for brugerdefinerede formularer kompromitteres:
- Brugerdefinerede formularer, der vises som deres egen meddelelsesklasse.
- Meddelelsesklassen indeholder eksekverbar kode.
- Skadelige formularer gemmes typisk i mapperne Personal Forms Library eller Inbox.
- Formularen hedder IPM. Seddel. [brugerdefineret navn].
Trin til at finde tegn på dette angreb og bekræfte det
Du kan bruge en af følgende metoder til at bekræfte angrebet:
Undersøg reglerne og formularerne for hver postkasse manuelt ved hjælp af Outlook-klienten. Denne metode er grundig, men du kan kun kontrollere én postkasse ad gangen. Denne metode kan være meget tidskrævende, hvis du har mange brugere at kontrollere, og den kan også inficere den computer, du bruger.
Brug Get-AllTenantRulesAndForms.ps1 PowerShell-scriptet til automatisk at dumpe alle regler for videresendelse af mail og brugerdefinerede formularer for alle brugerne i din organisation. Denne metode er den hurtigste og sikreste med den mindste mængde overhead.
Bemærk!
Fra og med januar 2021 er scriptet (og alt andet i lageret) skrivebeskyttet og arkiveret. Linje 154 til 158 forsøger at oprette forbindelse til Exchange Online PowerShell ved hjælp af en metode, der ikke længere understøttes på grund af udfasning af eksterne PowerShell-forbindelser i juli 2023. Fjern linjerne 154 til 158 og Opret forbindelse til Exchange Online PowerShell, før du kører scriptet.
Bekræft regelangrebet ved hjælp af Outlook-klienten
Åbn brugernes Outlook-klient som brugeren. Brugeren har muligvis brug for din hjælp til at undersøge reglerne i sin postkasse.
Se artiklen Administrer mails ved hjælp af regler for at få oplysninger om, hvordan du åbner regelgrænsefladen i Outlook.
Søg efter regler, som brugeren ikke har oprettet, eller eventuelle uventede regler eller regler med mistænkelige navne.
Se regelbeskrivelsen for regelhandlinger, der starter og programmer, eller som refererer til en .EXE, .ZIP fil eller til at starte en URL-adresse.
Søg efter nye processer, der begynder at bruge Outlook-proces-id'et. Se Find proces-id'et.
Trin til bekræftelse af det Forms angreb ved hjælp af Outlook-klienten
Åbn brugerens Outlook-klient som brugeren.
Følg trinnene i Vis fanen Udvikler for brugerens version af Outlook.
Åbn den nu synlige udviklerfane i Outlook, og vælg design en formular.
Vælg Indbakke på listen Søg i . Søg efter brugerdefinerede formularer. Brugerdefinerede formularer er sjældne nok til, at hvis du overhovedet har brugerdefinerede formularer, er det værd at se nærmere på dem.
Undersøg alle brugerdefinerede formularer, især formularer, der er markeret som skjulte.
Åbn alle brugerdefinerede formularer, og vælg Vis kode i gruppen Formular for at se, hvad der kører, når formularen indlæses.
Trin til bekræftelse af reglerne og Forms angreb ved hjælp af PowerShell
Den nemmeste måde at bekræfte et angreb på regler eller brugerdefinerede formularer på er ved at køre Get-AllTenantRulesAndForms.ps1 PowerShell-scriptet. Dette script opretter forbindelse til alle postkasser i din organisation og gemmer alle regler og formularer i to .csv filer.
Forudsætninger
Du skal være medlem af rollen Global administrator* i Microsoft Entra ID eller rollegruppen Organisationsadministration i Exchange Online, fordi scriptet opretter forbindelse til alle postkasser i organisationen for at læse regler og formularer.
Vigtigt!
* Microsoft anbefaler, at du bruger roller med færrest tilladelser. Brug af konti med lavere tilladelser hjælper med at forbedre sikkerheden for din organisation. Global administrator er en yderst privilegeret rolle, der bør være begrænset til nødsituationer, når du ikke kan bruge en eksisterende rolle.
Brug en konto med lokale administratorrettigheder til at logge på den computer, hvor du vil køre scriptet.
Download eller kopiér indholdet af Get-AllTenantRulesAndForms.ps1 scriptet fra GitHub til en mappe, der er nem at finde og køre scriptet fra. Scriptet opretter to datostemplede filer i mappen :
MailboxFormsExport-yyyy-MM-dd.csv
ogMailboxRulesExport-yyyy-MM-dd.csv
.Fjern linje 154 til 158 fra scriptet, fordi denne forbindelsesmetode ikke længere fungerer fra og med juli 2023.
Naviger i PowerShell til den mappe, hvor du gemte scriptet, og kør derefter følgende kommando:
.\Get-AllTenantRulesAndForms.ps1
Fortolkning af outputtet
-
MailboxRulesExport-yyyy-MM-dd.csv: Undersøg reglerne (én pr. række) for handlingsbetingelser, der omfatter programmer eller eksekverbare filer:
-
ActionType (kolonne A): Reglen er sandsynligvis skadelig, hvis denne kolonne indeholder værdien
ID_ACTION_CUSTOM
. -
IsPotentiallyMalicious (kolonne D): Reglen er sandsynligvis skadelig, hvis denne kolonne indeholder værdien
TRUE
. -
ActionCommand (kolonne G): Reglen er sandsynligvis skadelig, hvis denne kolonne indeholder en af følgende værdier:
- Et program.
- En .exe- eller .zip-fil.
- En ukendt post, der refererer til en URL-adresse.
-
ActionType (kolonne A): Reglen er sandsynligvis skadelig, hvis denne kolonne indeholder værdien
- MailboxFormsExport-yyyy-MM-dd.csv: Generelt er brugen af brugerdefinerede formularer sjældent. Hvis du finder nogen i denne projektmappe, skal du åbne brugerens postkasse og undersøge selve formularen. Hvis din organisation ikke har placeret den der med vilje, er det sandsynligvis skadeligt.
Sådan stopper og afhjælper du Outlook-reglerne og Forms-angreb
Hvis du finder beviser for et af disse angreb, er afhjælpning enkel: Du skal blot slette reglen eller formularen i postkassen. Du kan slette reglen eller formularen ved hjælp af Outlook-klienten eller Exchange PowerShell.
Brug af Outlook
Identificer alle de enheder, hvor brugeren har brugt Outlook. De skal alle renses for potentiel malware. Tillad ikke, at brugeren logger på og bruger mail, før alle enheder er blevet renset.
Følg trinnene i Slet en regel på hver enhed.
Hvis du er usikker på tilstedeværelsen af anden malware, kan du formatere og geninstallere al softwaren på enheden. For mobilenheder kan du følge producentens trin for at nulstille enheden til fabriksbilledet.
Installér de nyeste versioner af Outlook. Husk, at den aktuelle version af Outlook blokerer begge typer af dette angreb som standard.
Når alle offlinekopier af postkassen er blevet fjernet, skal du gøre følgende:
- Nulstil brugerens adgangskode ved hjælp af en høj kvalitetsværdi (længde og kompleksitet).
- Hvis multifaktorgodkendelse (MFA) ikke er aktiveret for brugeren, skal du følge trinnene i Konfigurer multifaktorgodkendelse for brugere
Disse trin sikrer, at brugerens legitimationsoplysninger ikke eksponeres på anden måde (f.eks. genbrug af phishing eller adgangskode).
Brug af PowerShell
Opret forbindelse til det påkrævede Exchange PowerShell-miljø:
Postkasser på Exchange-servere i det lokale miljø: Opret forbindelse til Exchange-servere ved hjælp af ekstern PowerShell , eller åbn Exchange Management Shell.
Postkasser i Exchange Online: Opret forbindelse til Exchange Online PowerShell.
Når du har oprettet forbindelse til det påkrævede Exchange PowerShell-miljø, kan du udføre følgende handlinger på indbakkeregler i brugerpostkasser:
Vis indbakkeregler i en postkasse:
Vis en oversigtsliste over alle regler
Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com
Få vist detaljerede oplysninger om en bestemt regel:
Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name" | Format-List
Du kan finde detaljerede oplysninger om syntaks og parametre under Get-InboxRule.
Fjern indbakkeregler fra en postkasse:
Fjern en bestemt regel:
Remove-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name"
Fjern alle regler:
Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com | Remove-InboxRule
Du kan finde detaljerede oplysninger om syntaks og parametre i Remove-InboxRule.
Deaktiver en indbakkeregel for yderligere undersøgelse:
Disable-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name"
Du kan finde detaljerede oplysninger om syntaks og parametre under Disable-InboxRule.
Sådan minimerer du fremtidige angreb
For det første: Beskyt konti
Reglerne og Forms udnyttelser bruges kun af en hacker, når vedkommende har stjålet eller overtrådt en brugers konto. Så dit første skridt til at forhindre brugen af disse udnyttelser mod din organisation er at beskytte brugerkonti aggressivt. Nogle af de mest almindelige måder, konti brydes på, er gennem phishing- eller adgangskodesprayangreb.
Den bedste måde at beskytte brugerkonti (især administratorkonti) på er ved at konfigurere MFA for brugerne. Du skal også:
Overvåg, hvordan brugerkonti tilgås og bruges. Du kan ikke forhindre det indledende brud, men du kan forkorte varigheden og virkningerne af overtrædelsen ved at opdage det hurtigere. Du kan bruge disse Office 365 Cloud App Security politikker til at overvåge konti og advare dig om usædvanlig aktivitet:
Flere mislykkede logonforsøg: Udløser en besked, når brugerne udfører flere mislykkede logonaktiviteter i en enkelt session med hensyn til den lærte baseline, hvilket kan indikere et forsøg på brud.
Umulig rejse: Udløser en besked, når aktiviteter registreres fra den samme bruger på forskellige placeringer inden for en tidsperiode, der er kortere end den forventede rejsetid mellem de to placeringer. Denne aktivitet kan angive, at en anden bruger bruger de samme legitimationsoplysninger. Registrering af denne unormale funktionsmåde nødvendiggør en indledende læringsperiode på syv dage for at lære en ny brugers aktivitetsmønster at kende.
Usædvanlig repræsenteret aktivitet (efter bruger): Udløser en besked, når brugerne udfører flere repræsenterede aktiviteter i en enkelt session med hensyn til den oplærte baseline, hvilket kan indikere et forsøg på brud.
Brug et værktøj som Office 365 Secure Score til at administrere sikkerhedskonfigurationer og -funktionsmåder for konti.
For det andet: Hold Outlook-klienter opdaterede
Fuldt opdaterede og reparerede versioner af Outlook 2013 og 2016 deaktiverer som standard handlingen "Start program". Selvom en hacker overtræder kontoen, blokeres regel- og formularhandlinger. Du kan installere de nyeste opdateringer og sikkerhedsrettelser ved at følge trinnene i Installér Office-opdateringer.
Her er programrettelsesversionerne til Outlook 2013- og 2016-klienter:
- Outlook 2016: 16.0.4534.1001 eller nyere.
- Outlook 2013: 15.0.4937.1000 eller nyere.
Du kan få flere oplysninger om de enkelte sikkerhedsrettelser under:
Tredje: Overvåg Outlook-klienter
Selv når programrettelserne og opdateringerne er installeret, er det muligt for en hacker at ændre konfigurationen af den lokale computer for at aktivere funktionsmåden "Start program". Du kan bruge Administration af avancerede Gruppepolitik til at overvåge og gennemtvinge lokale computerpolitikker på klientenheder.
Du kan se, om "Start program" er blevet genaktiveret via en tilsidesættelse i registreringsdatabasen ved hjælp af oplysningerne i Sådan får du vist systemregistreringsdatabasen ved hjælp af 64-bit versioner af Windows. Kontrollér disse undernøgler:
-
Outlook 2016:
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Security\
-
Outlook 2013:
HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Security\
Søg efter nøglen EnableUnsafeClientMailRules
:
- Hvis værdien er 1, tilsidesættes Outlook-sikkerhedsrettelsen, og computeren er sårbar over for formular-/regelangrebet.
- Hvis værdien er 0, er handlingen "Start program" deaktiveret.
- Hvis registreringsdatabasenøglen ikke findes, og den opdaterede og reparerede version af Outlook er installeret, er systemet ikke sårbart over for disse angreb.
Kunder med Exchange-installationer i det lokale miljø bør overveje at blokere ældre versioner af Outlook, der ikke har programrettelser tilgængelige. Du kan finde oplysninger om denne proces i artiklen Konfigurer blokering af Outlook-klienten.
Se også:
- Ondsindede Outlook-regler fra SilentBreak Security Post om Regelvektor giver en detaljeret gennemgang af, hvordan Outlook-reglerne.
- MAPI over HTTP og Mailrule Pwnage på Sensepost-bloggen om Mailrule Pwnage diskuterer et værktøj kaldet Lineal, der giver dig mulighed for at udnytte postkasser via Outlook-regler.
- Outlook-formularer og -shells på Sensepost-bloggen om Forms Threat Vector.
- Kodebase for lineal
- Linealindikatorer for kompromitteret