Détecter et corriger les règles Outlook et les attaques par injections de Forms personnalisées

• S’applique à:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai ici.

Résumé Découvrez comment reconnaître et corriger les règles Outlook et les attaques par injections de Forms personnalisées dans Office 365.

Qu’est-ce que les règles Outlook et l’attaque par injection de Forms personnalisée ?

Une fois qu’un attaquant a accès à votre organization, il tente d’établir un pied pour y rester ou y revenir une fois qu’il a été découvert. Cette activité est appelée établissement d’un mécanisme de persistance. Il existe deux façons pour un attaquant d’utiliser Outlook pour établir un mécanisme de persistance :

• En exploitant les règles Outlook.
• En injectant des formulaires personnalisés dans Outlook.

La réinstallation d’Outlook ou même l’attribution d’un nouvel ordinateur à la personne concernée n’est pas utile. Lorsque la nouvelle installation d’Outlook se connecte à la boîte aux lettres, toutes les règles et formulaires sont synchronisés à partir du cloud. Les règles ou formulaires sont généralement conçus pour exécuter du code à distance et installer des programmes malveillants sur l’ordinateur local. Le programme malveillant vole les informations d’identification ou effectue d’autres activités illicites.

La bonne nouvelle est que si vous conservez les clients Outlook corrigés vers la dernière version, vous n’êtes pas vulnérable à la menace, car les paramètres par défaut actuels du client Outlook bloquent les deux mécanismes.

Les attaques suivent généralement ces modèles :

L’exploit des règles :

1. L’attaquant vole les informations d’identification d’un utilisateur.
2. L’attaquant se connecte à la boîte aux lettres Exchange de cet utilisateur (Exchange Online ou Exchange local).
3. L’attaquant crée une règle de boîte de réception de transfert dans la boîte aux lettres. La règle de transfert est déclenchée lorsque la boîte aux lettres reçoit un message spécifique de l’attaquant qui correspond aux conditions de la règle. Les conditions de règle et le format de message sont personnalisés les uns pour les autres.
4. L’attaquant envoie l’e-mail déclencheur à la boîte aux lettres compromise, qui est toujours utilisée normalement par l’utilisateur qui ne se méfie pas.
5. Lorsque la boîte aux lettres reçoit un message qui correspond aux conditions de la règle, l’action de la règle est appliquée. En règle générale, l’action de règle consiste à lancer une application sur un serveur distant (WebDAV).
6. En règle générale, l’application installe des programmes malveillants sur l’ordinateur de l’utilisateur (par exemple, PowerShell Empire).
7. Le programme malveillant permet à l’attaquant de voler (ou de voler à nouveau) le nom d’utilisateur et le mot de passe de l’utilisateur ou d’autres informations d’identification de l’ordinateur local et d’effectuer d’autres activités malveillantes.

Exploit Forms :

1. L’attaquant vole les informations d’identification d’un utilisateur.
2. L’attaquant se connecte à la boîte aux lettres Exchange de cet utilisateur (Exchange Online ou Exchange local).
3. L’attaquant insère un modèle de formulaire de courrier personnalisé dans la boîte aux lettres de l’utilisateur. Le formulaire personnalisé est déclenché lorsque la boîte aux lettres reçoit un message spécifique de l’attaquant qui exige que la boîte aux lettres charge le formulaire personnalisé. Le formulaire personnalisé et le format de message sont personnalisés l’un pour l’autre.
4. L’attaquant envoie l’e-mail déclencheur à la boîte aux lettres compromise, qui est toujours utilisée normalement par l’utilisateur qui ne se méfie pas.
5. Lorsque la boîte aux lettres reçoit le message, la boîte aux lettres charge le formulaire requis. Le formulaire lance une application sur un serveur distant (WebDAV).
6. En règle générale, l’application installe des programmes malveillants sur l’ordinateur de l’utilisateur (par exemple, PowerShell Empire).
7. Le programme malveillant permet à l’attaquant de voler (ou de voler à nouveau) le nom d’utilisateur et le mot de passe de l’utilisateur ou d’autres informations d’identification de l’ordinateur local et d’effectuer d’autres activités malveillantes.

À quoi peut ressembler une attaque par règles et par injection de Forms personnalisée Office 365 ?

Les utilisateurs sont peu susceptibles de remarquer ces mécanismes de persistance et ils peuvent même être invisibles pour eux. La liste suivante décrit les signes (indicateurs de compromission) qui indiquent que des étapes de correction sont nécessaires :

• Indicateurs de la compromission des règles :

  • L’action de règle consiste à démarrer une application.
  • La règle fait référence à un EXE, zip ou URL.
  • Sur l’ordinateur local, recherchez les nouveaux démarrages de processus qui proviennent du PID Outlook.

• Les indicateurs de la compromission des formulaires personnalisés :

  • Les formulaires personnalisés sont présentés comme leur propre classe de message.
  • La classe message contient du code exécutable.
  • En règle générale, les formulaires malveillants sont stockés dans des dossiers de la bibliothèque Forms personnelle ou de la boîte de réception.
  • Le formulaire est nommé IPM. Note. [nom personnalisé].

Étapes pour trouver les signes de cette attaque et la confirmer

Vous pouvez utiliser l’une des méthodes suivantes pour confirmer l’attaque :

• Examinez manuellement les règles et les formulaires de chaque boîte aux lettres à l’aide du client Outlook. Cette méthode est complète, mais vous ne pouvez case activée qu’une boîte aux lettres à la fois. Cette méthode peut prendre beaucoup de temps si vous avez de nombreux utilisateurs à case activée, et peut également infecter l’ordinateur que vous utilisez.

• Utilisez le script PowerShellGet-AllTenantRulesAndForms.ps1pour vider automatiquement toutes les règles de transfert de courrier et les formulaires personnalisés pour tous les utilisateurs de votre organization. Cette méthode est la plus rapide et la plus sûre avec le moins de surcharge.

  Remarque

  Depuis janvier 2021, le script (et tout le reste du dépôt) est en lecture seule et archivé. Les lignes 154 à 158 tentent de se connecter à Exchange Online PowerShell à l’aide d’une méthode qui n’est plus prise en charge en raison de la dépréciation des connexions PowerShell distantes en juillet 2023. Supprimez les lignes 154 à 158 et Connectez-vous à Exchange Online PowerShell avant d’exécuter le script.

Confirmer l’attaque par règles à l’aide du client Outlook

1. Ouvrez le client Outlook des utilisateurs en tant qu’utilisateur. L’utilisateur peut avoir besoin de votre aide pour examiner les règles sur sa boîte aux lettres.

2. Reportez-vous à l’article Gérer les messages électroniques à l’aide de règles pour connaître les procédures d’ouverture de l’interface des règles dans Outlook.

3. Recherchez les règles que l’utilisateur n’a pas créées, ou les règles inattendues ou les règles avec des noms suspects.

4. Recherchez dans la description de la règle les actions de règle qui démarrent et l’application ou font référence à un fichier .EXE, .ZIP ou au lancement d’une URL.

5. Recherchez les nouveaux processus qui commencent à utiliser l’ID de processus Outlook. Reportez-vous à Rechercher l’ID de processus.

Étapes pour confirmer l’attaque Forms à l’aide du client Outlook

1. Ouvrez le client Outlook utilisateur en tant qu’utilisateur.

2. Suivez les étapes décrites dans Afficher l’onglet Développeur pour la version d’Outlook de l’utilisateur.

3. Ouvrez l’onglet Développeur désormais visible dans Outlook et sélectionnez Concevoir un formulaire.

4. Sélectionnez la boîte de réception dans la liste Regarder dans . Recherchez les formulaires personnalisés. Les formulaires personnalisés sont suffisamment rares pour que, si vous avez des formulaires personnalisés, cela vaut la peine d’être examiné plus en détail.

5. Examinez tous les formulaires personnalisés, en particulier les formulaires marqués comme masqués.

6. Ouvrez tous les formulaires personnalisés et, dans le groupe Formulaire , sélectionnez Afficher le code pour voir ce qui s’exécute lorsque le formulaire est chargé.

Étapes pour confirmer les règles et les attaques Forms à l’aide de PowerShell

Le moyen le plus simple de vérifier une attaque de règles ou de formulaires personnalisés consiste à exécuter le script PowerShell Get-AllTenantRulesAndForms.ps1 . Ce script se connecte à chaque boîte aux lettres de votre organization et vide toutes les règles et formulaires dans deux fichiers .csv.

Configuration requise

Vous devez être membre du rôle Administrateur général dans Microsoft Entra ID ou du groupe de rôles Gestion de l’organisation dans Exchange Online, car le script se connecte à chaque boîte aux lettres du organization pour lire les règles et les formulaires.

1. Utilisez un compte disposant de droits d’administrateur local pour vous connecter à l’ordinateur sur lequel vous envisagez d’exécuter le script.

2. Téléchargez ou copiez le contenu du script Get-AllTenantRulesAndForms.ps1 à partir de GitHub vers un dossier facile à trouver et à partir duquel exécuter le script. Le script crée deux fichiers horodatés dans le dossier : MailboxFormsExport-yyyy-MM-dd.csv et MailboxRulesExport-yyyy-MM-dd.csv.

   Supprimez les lignes 154 à 158 du script, car cette méthode de connexion ne fonctionne plus depuis juillet 2023.

3. Connectez-vous à Exchange Online PowerShell.

4. Dans PowerShell, accédez au dossier dans lequel vous avez enregistré le script, puis exécutez la commande suivante :

   .\Get-AllTenantRulesAndForms.ps1
   

Interprétation de la sortie

• MailboxRulesExport-aaaa-MM-jj.csv: examinez les règles (une par ligne) pour connaître les conditions d’action qui incluent des applications ou des exécutables :
  • ActionType (colonne A) : la règle est probablement malveillante si cette colonne contient la valeur ID_ACTION_CUSTOM.
  • IsPotentiallyMalicious (colonne D) : la règle est probablement malveillante si cette colonne contient la valeur TRUE.
  • ActionCommand (colonne G) : la règle est probablement malveillante si cette colonne contient l’une des valeurs suivantes :
    • Application.
    • Fichier .exe ou .zip.
    • Entrée inconnue qui fait référence à une URL.
• MailboxFormsExport-aaaa-MM-jj.csv: en général, l’utilisation de formulaires personnalisés est rare. Si vous en trouvez dans ce classeur, ouvrez la boîte aux lettres de cet utilisateur et examinez le formulaire lui-même. Si votre organization ne l’a pas placé intentionnellement, il est probablement malveillant.

Comment arrêter et corriger l’attaque de règles et de Forms Outlook

Si vous trouvez des preuves de l’une de ces attaques, la correction est simple : supprimez simplement la règle ou le formulaire dans la boîte aux lettres. Vous pouvez supprimer la règle ou le formulaire à l’aide du client Outlook ou d’Exchange PowerShell.

Utilisation d’Outlook

1. Identifiez tous les appareils sur lesquels l’utilisateur a utilisé Outlook. Ils doivent tous être nettoyés des programmes malveillants potentiels. N’autorisez pas l’utilisateur à se connecter et à utiliser la messagerie tant que tous les appareils n’ont pas été nettoyés.

2. Sur chaque appareil, suivez les étapes décrites dans Supprimer une règle.

3. Si vous n’êtes pas sûr de la présence d’autres programmes malveillants, vous pouvez mettre en forme et réinstaller tous les logiciels sur l’appareil. Pour les appareils mobiles, vous pouvez suivre les étapes des fabricants pour réinitialiser l’appareil à l’image d’usine.

4. Installez les versions les plus récentes d’Outlook. N’oubliez pas que la version actuelle d’Outlook bloque les deux types d’attaque par défaut.

5. Une fois que toutes les copies hors connexion de la boîte aux lettres ont été supprimées, procédez comme suit :

   • Réinitialisez le mot de passe de l’utilisateur à l’aide d’une valeur de qualité élevée (longueur et complexité).
   • Si l’authentification multifacteur (MFA) n’est pas activée pour l’utilisateur, suivez les étapes décrites dans Configurer l’authentification multifacteur pour les utilisateurs

   Ces étapes garantissent que les informations d’identification de l’utilisateur ne sont pas exposées par d’autres moyens (par exemple, l’hameçonnage ou la réutilisation du mot de passe).

Utiliser PowerShell

Connectez-vous à l’environnement Exchange PowerShell requis :

• Boîtes aux lettres sur des serveurs Exchange locaux : connectez-vous aux serveurs Exchange à l’aide de PowerShell distant ou ouvrez l’environnement de ligne de commande Exchange Management Shell.

• Boîtes aux lettres dans Exchange Online : se connecter à Exchange Online PowerShell.

Après vous être connecté à l’environnement Exchange PowerShell requis, vous pouvez effectuer les actions suivantes sur les règles de boîte de réception dans les boîtes aux lettres utilisateur :

• Afficher les règles de boîte de réception dans une boîte aux lettres :

  • Afficher une liste récapitulative de toutes les règles

    Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com
    

  • Afficher des informations détaillées pour une règle spécifique :

    Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name" | Format-List
    

  Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Get-InboxRule.

• Supprimer les règles de boîte de réception d’une boîte aux lettres :

  • Supprimez une règle spécifique :

    Remove-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name"
    

  • Supprimer toutes les règles :

    Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com | Remove-InboxRule
    

  Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Remove-InboxRule.

• Désactivez une règle de boîte de réception pour un examen plus approfondi :

  Disable-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name"
  

  Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Disable-InboxRule.

Comment réduire les attaques futures

Tout d’abord : protéger les comptes

Les règles et les attaques Forms ne sont utilisées par un attaquant qu’après avoir volé ou violé le compte d’un utilisateur. Par conséquent, la première étape pour empêcher l’utilisation de ces attaques contre votre organization consiste à protéger de manière agressive les comptes d’utilisateur. Parmi les méthodes les plus courantes de violation des comptes, vous pouvez utiliser des attaques par hameçonnage ou par pulvérisation de mot de passe.

La meilleure façon de protéger les comptes d’utilisateur (en particulier les comptes d’administrateur) consiste à configurer l’authentification multifacteur pour les utilisateurs. Vous devez également :

• Surveillez l’accès et l’utilisation des comptes d’utilisateur. Vous ne pouvez pas empêcher la violation initiale, mais vous pouvez raccourcir la durée et les effets de la violation en la détectant plus tôt. Vous pouvez utiliser ces stratégies Sécurité des applications cloud Office 365 pour surveiller les comptes et vous alerter en cas d’activité inhabituelle :

  • Plusieurs tentatives de connexion ayant échoué : déclenche une alerte lorsque les utilisateurs effectuent plusieurs activités de connexion ayant échoué dans une seule session par rapport à la base de référence apprise, ce qui peut indiquer une tentative de violation.

  • Voyage impossible : déclenche une alerte lorsque des activités sont détectées par le même utilisateur dans des emplacements différents au cours d’une période plus courte que le temps de trajet attendu entre les deux emplacements. Cette activité peut indiquer qu’un autre utilisateur utilise les mêmes informations d’identification. La détection de ce comportement anormal nécessite une période d’apprentissage initiale de sept jours pour découvrir le modèle d’activité d’un nouvel utilisateur.

  • Activité d’emprunt d’identité inhabituelle (par l’utilisateur) : déclenche une alerte lorsque les utilisateurs effectuent plusieurs activités d’emprunt d’identité dans une même session par rapport à la base de référence apprise, ce qui peut indiquer une tentative de violation.

• Utilisez un outil comme Office 365 Degré de sécurité pour gérer les configurations et les comportements de sécurité des comptes.

Deuxièmement : Maintenir les clients Outlook à jour

Les versions entièrement mises à jour et corrigées d’Outlook 2013 et 2016 désactivent l’action de règle/formulaire « Démarrer l’application » par défaut. Même si un attaquant viole le compte, les actions de règle et de formulaire sont bloquées. Vous pouvez installer les dernières mises à jour et correctifs de sécurité en suivant les étapes décrites dans Installer les mises à jour Office.

Voici les versions correctives pour les clients Outlook 2013 et 2016 :

• Outlook 2016 : 16.0.4534.1001 ou version ultérieure.
• Outlook 2013 : 15.0.4937.1000 ou version ultérieure.

Pour plus d’informations sur les correctifs de sécurité individuels, consultez :

• Correctif de sécurité Outlook 2016
• Correctif de sécurité Outlook 2013

Troisièmement : Surveiller les clients Outlook

Même si les correctifs et les mises à jour sont installés, il est possible pour un attaquant de modifier la configuration de l’ordinateur local pour réactiver le comportement « Démarrer l’application ». Vous pouvez utiliser Advanced stratégie de groupe Management pour surveiller et appliquer des stratégies d’ordinateur local sur les appareils clients.

Vous pouvez voir si « Démarrer l’application » a été réactivé via un remplacement dans le Registre en utilisant les informations fournies dans Comment afficher le registre système à l’aide de versions 64 bits de Windows. Vérifiez ces sous-clés :

• Outlook 2016 :HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Security\
• Outlook 2013 : HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Security\

Recherchez la clé EnableUnsafeClientMailRules:

• Si la valeur est 1, le correctif de sécurité Outlook a été remplacé et l’ordinateur est vulnérable à l’attaque Formulaire/Règles.
• Si la valeur est 0, l’action « Démarrer l’application » est désactivée.
• Si la clé de Registre n’est pas présente et que la version mise à jour et corrigée d’Outlook est installée, le système n’est pas vulnérable à ces attaques.

Les clients disposant d’installations Exchange locales doivent envisager de bloquer les versions antérieures d’Outlook qui n’ont pas de correctifs disponibles. Pour plus d’informations sur ce processus, consultez l’article Configurer le blocage du client Outlook.

Voir aussi :

• Le billet de sécurité règles Outlook malveillants par SilentBreak sur le vecteur de règles fournit un examen détaillé de la façon dont les règles Outlook.
• MAPI sur HTTP et Mailrule Pwnage sur le blog Sensepost sur Mailrule Pwnage décrit un outil appelé Ruler qui vous permet d’exploiter les boîtes aux lettres via des règles Outlook.
• Formulaires et interpréteurs de commandes Outlook sur le blog Sensepost sur Forms vecteur de menaces.
• Base de code de règle
• Indicateurs de compromission de règle