זיהוי ותיקון של כללי Outlook ומתקפות Forms זריקות

• חל על:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

עצה

הידעת שתוכל לנסות את התכונות ב- Microsoft Defender XDR עבור Office 365 2 ללא תשלום? השתמש בגירסת הניסיון ל- 90 Defender עבור Office 365 במרכז Microsoft Defender של הפורטל. למד מי יכול להירשם ולתנאי ניסיון ב-נסה Microsoft Defender עבור Office 365.

תקציר למד כיצד לזהות ולבצע תיקון של כללי Outlook ומתקפות Forms מותאמות אישית Office 365.

מהם כללי Outlook ותקיפה מותאמת Forms הזרקה?

לאחר שתוקף מקבל גישה לארגון שלך, הוא מנסה להקים תוקף כדי להישאר בו או לחזור אליו לאחר שהוא יתגלה. פעילות זו נקראת יצירת מנגנון עקביות. קיימות שתי דרכים שבהן תוקף יכול להשתמש ב- Outlook כדי ליצור מנגנון עקביות:

• על-ידי ניצול כללי Outlook.
• על-ידי הזרקת טפסים מותאמים אישית ל- Outlook.

התקנה מחדש של Outlook, או אפילו העברת האדם המושפע למחשב חדש אינה עוזרת. כאשר ההתקנה החדשה של Outlook מתחברת לתיבת הדואר, כל הכללים וה טפסים מסונכרנים מהענן. הכללים או הטפסים מיועדים בדרך כלל להפעיל קוד מרוחק ולהתקין תוכנות זדוניות במחשב המקומי. התוכנה הזדונית גונבת אישורים או מבצעת פעילות לא מפורשת אחרת.

החדשות הטובות הן: אם אתה מעדכן את לקוחות Outlook לגירסה העדכנית ביותר, אינך פגיע לאיום כי ברירות המחדל הנוכחיות של לקוח Outlook חוסמיות את שני המנגנונים.

ההתקפות בדרך כלל עוקבות אחר דפוסים אלה:

הכללים ניצול לרעה:

1. התוקף גונב אישורי משתמש.
2. התוקף נכנס לתיבת הדואר של Exchange של אותו משתמש (Exchange Online Exchange מקומי).
3. התוקף יוצר כלל העברה של תיבת דואר נכנס בתיבת הדואר. כלל ההעברה מופעל כאשר תיבת הדואר מקבלת הודעה ספציפית מהתוקף התואמת לתנאים של הכלל. תנאי הכלל ותבנית ההודעה מותאמים זה לזה.
4. התוקף שולח את הודעת הדואר האלקטרוני של הגורם המפעיל לתיבת הדואר שנחשף לסכנה, שעדיין משמשת כרגיל על-ידי המשתמש הלא תמים.
5. כאשר תיבת הדואר מקבלת הודעה התואמת את תנאי הכלל, פעולת הכלל מוחלת. בדרך כלל, פעולת הכלל היא הפעלת יישום בשרת מרוחק (WebDAV).
6. בדרך כלל, היישום מתקין תוכנה זדונית במחשב של המשתמש (לדוגמה, PowerShell Empire).
7. התוכנה הזדונית מאפשרת לתוקף לגנוב (או לגנוב שוב) את שם המשתמש והסיסמה של המשתמש או אישורים אחרים ממחשב מקומי ולבצע פעילויות זדוניות אחרות.

הניצול Forms של רשימת הפעולות הבאות:

1. התוקף גונב אישורי משתמש.
2. התוקף נכנס לתיבת הדואר של Exchange של אותו משתמש (Exchange Online Exchange מקומי).
3. התוקף מוסיף תבנית טופס של דואר מותאם אישית לתיבת הדואר של המשתמש. הטופס המותאם אישית מופעל כאשר תיבת הדואר מקבלת הודעה ספציפית מהתוקף הדורשת מתיבת הדואר לטעון את הטופס המותאם אישית. הטופס המותאם אישית ותבנית ההודעה מותאמים זה לזה.
4. התוקף שולח את הודעת הדואר האלקטרוני של הגורם המפעיל לתיבת הדואר שנחשף לסכנה, שעדיין משמשת כרגיל על-ידי המשתמש הלא תמים.
5. כאשר תיבת הדואר מקבלת את ההודעה, תיבת הדואר תטען את הטופס הנדרש. הטופס מפעיל יישום בשרת מרוחק (WebDAV).
6. בדרך כלל, היישום מתקין תוכנה זדונית במחשב של המשתמש (לדוגמה, PowerShell Empire).
7. התוכנה הזדונית מאפשרת לתוקף לגנוב (או לגנוב שוב) את שם המשתמש והסיסמה של המשתמש או אישורים אחרים ממחשב מקומי ולבצע פעילויות זדוניות אחרות.

אילו כללים ותקיפה מותאמת Forms הזרקה עשויים להיראות Office 365?

לא סביר שהמשתמשים יבחינו במנגנוני התמדה אלה, והם עשויים אפילו להיות בלתי נראים להם. הרשימה הבאה מתארת את הסימנים (מחווני פשרה) המציינים שלבי תיקון נדרשים:

• מחווני הכללים נפגעים:

  • פעולת הכלל היא הפעלת יישום.
  • כלל מפנה אל EXE, ZIP או כתובת URL.
  • במחשב המקומי, חפש אחר התחלת תהליך חדש שמקורו ב- PID של Outlook.

• מחווני הטפסים המותאמים אישית נפגעים:

  • טפסים מותאמים אישית קיימים שנשמרו כמחלקה משלהם להודעות.
  • מחלקת ההודעות מכילה קוד הפעלה.
  • בדרך כלל, טפסים זדוניים מאוחסנים בתיקיות Personal Forms Library או Inbox.
  • הטופס נקרא IPM. הערה. [שם מותאם אישית].

השלבים לאיתור סימנים למתקפה זו ולאיתרתה

באפשרותך להשתמש באחת מהשיטות הבאות כדי לאשר את ההתקפה:

• בדוק באופן ידני את הכללים וה טפסים עבור כל תיבת דואר באמצעות לקוח Outlook. שיטה זו יסודית, אך ניתן לבדוק תיבת דואר אחת בלבד בכל פעם. שיטה זו עשויה לצרוך זמן רב אם יש לך משתמשים רבים לבדוק, והיא עשויה גם להדביק את המחשב שבו אתה משתמש.

• השתמש בקובץGet-AllTenantRulesAndForms.ps1 PowerShell כדי להשליך באופן אוטומטי את כל כללי העברת הדואר וה טפסים מותאמים אישית עבור כל המשתמשים בארגון שלך. שיטה זו היא המהירה והבטוחה ביותר עם הכמות הנמוכה ביותר של תקיף.

  הערה

  נכון לינואר 2021, קובץ ה- Script (וכל השאר במאגר) מוגדר לקריאה בלבד והוא מאוחסן בארכיון. קווים 154 עד 158 מנסים להתחבר ל- Exchange Online PowerShell באמצעות שיטה אינן נתמכות עוד עקב פחת של חיבורי PowerShell מרוחקים ביולי 2023. הסר את שורות 154 עד 158 ואת התחבר Exchange Online PowerShell לפני הפעלת קובץ ה- Script.

אשר את התקיפה של הכללים באמצעות לקוח Outlook

1. פתח את לקוח Outlook של המשתמש בתור המשתמש. ייתכן שהמשתמש זקוק לעזרה שלך בבדיקת הכללים בתיבת הדואר שלו.

2. עיין במאמר ניהול הודעות דואר אלקטרוני באמצעות המאמר כללים לקבלת ההליכים לפתיחת ממשק הכללים ב- Outlook.

3. חפש כללים שהמשתמש לא יוצר, או כללים או כללים לא צפויים עם שמות חשודים.

4. חפש בתיאור הכלל פעולות כלל שהופעלו ויישום, או עיין בקובץ .EXE, .ZIP או כדי להפעיל כתובת URL.

5. חפש תהליכים חדשים ה מתחילים להשתמש במזהה התהליך של Outlook. עיין בנושא איתור מזהה התהליך.

שלבים לאישור Forms באמצעות לקוח Outlook

1. פתח את לקוח Outlook של המשתמש בתור המשתמש.

2. בצע את השלבים המפורטים במאמר הצגת הכרטיסיה 'מפתחים ' עבור גירסת Outlook של המשתמש.

3. פתח את הכרטיסיה למפתחים הגלויה כעת ב- Outlook ובחר עצב טופס.

4. בחר את תיבת הדואר הנכנס מהרשימה חפש ב. חפש טפסים מותאמים אישית. טפסים מותאמים אישית הם נדירים מספיק, כך שאם יש לך טפסים מותאמים אישית בכלל, כדאי להסתכל לעומק.

5. בדוק טפסים מותאמים אישית, במיוחד טפסים המסומנים כמוסתרים.

6. פתח טפסים מותאמים אישית ובקבוצה טופס, בחר הצג קוד כדי לראות מה פועל בעת הטעון של הטופס.

שלבים לאישור הכללים והתקיפה Forms PowerShell

הדרך הפשוטה ביותר לאמת כללים או התקפה של טפסים מותאמים אישית היא להפעיל את קובץGet-AllTenantRulesAndForms.ps1 PowerShell. קובץ Script זה מתחבר לכל תיבת דואר בארגון שלך ושולח את כל הכללים וה טפסים לשני .csv אחרים.

דרישות מוקדמות

עליך להיות חבר^* בתפקיד מנהל מערכת כללי ב- Microsoft Entra מזהה או בקבוצת התפקידים 'ניהול ארגון' ב- Exchange Online, מכיוון שקובץ ה- Script מתחבר לכל תיבת דואר בארגון כדי לקרוא כללים וטפסים.

חשוב

^* Microsoft ממליצה להשתמש בתפקידים עם הכי פחות הרשאות. שימוש בחשבונות עם הרשאות נמוכות יותר עוזר לשפר את האבטחה עבור הארגון שלך. מנהל מערכת כללי הוא תפקיד בעל הרשאה גבוהה שאמור להיות מוגבל לתרחישי חירום כאשר אין באפשרותך להשתמש בתפקיד קיים.

1. השתמש בחשבון עם זכויות מנהל מערכת מקומי כדי להיכנס למחשב שבו בכוונתך להפעיל את קובץ ה- Script.

2. הורד או העתק את תוכן קובץGet-AllTenantRulesAndForms.ps1 Script מ- GitHub לתיקיה שמתוכן ניתן למצוא ולהפעיל בקלות את קובץ ה- Script. קובץ ה- Script יוצר שני קבצים עם חותמת תאריך בתיקיה: ו- MailboxFormsExport-yyyy-MM-dd.csvMailboxRulesExport-yyyy-MM-dd.csv.

   הסר את שורות 154 עד 158 מהקובץ ה- Script, מכיוון ששיטה זו של חיבור אינה פועלת עוד החל מיולי 2023.

3. התחבר ל-Exchange Online PowerShell.

4. נווט ב- PowerShell אל התיקיה שבה שמרת את קובץ ה- Script ולאחר מכן הפעל את הפקודה הבאה:

   .\Get-AllTenantRulesAndForms.ps1
   

פירוש הפלט

• MailboxRulesExport-yyyy-MM-dd.csv: בדוק את הכללים (אחד בכל שורה) לקבלת תנאי פעולה הכוללים יישומים או קבצי הפעלה:
  • ActionType (עמודה A): ייתכן שהכלל זדוני אם עמודה זו מכילה את הערך ID_ACTION_CUSTOM.
  • IsPotentiallyMalicious (עמודה D): ייתכן שהכלל זדוני אם עמודה זו מכילה את הערך TRUE.
  • ActionCommand (עמודה G): ייתכן שהכלל זדוני אם עמודה זו מכילה אחד מהערכים הבאים:
    • יישום.
    • קובץ .exe או .zip אחר.
    • ערך לא ידוע המפנה אל כתובת URL.
• MailboxFormsExport-yyyy-MM-dd.csv: באופן כללי, השימוש בטפסים מותאמים אישית הוא נדיר. אם אתה מוצא חוברת עבודה זו, פתח את תיבת הדואר של משתמש זה ובדוק את הטופס עצמו. אם הארגון שלך לא שם אותו שם במכוון, הוא זדוני.

כיצד להפסיק ולתיקון של כללי Outlook Forms תקיפה

אם אתה מוצא ראיות כלשהן של אחת מהתקיפות האלה, ניתן לבצע תיקון פשוט: פשוט מחק את הכלל או את הטופס בתיבת הדואר. באפשרותך למחוק את הכלל או הטופס באמצעות לקוח Outlook או באמצעות Exchange PowerShell.

שימוש ב- Outlook

1. זהה את כל המכשירים שבהם המשתמש השתמש ב- Outlook. יש לנקות את כולם מתוכנות זדוניות פוטנציאליות. אל תאפשר למשתמש להיכנס ולהשתמש בדואר אלקטרוני עד שכל המכשירים ינוקויו.

2. בכל מכשיר, בצע את השלבים המפורטים במחיקת כלל.

3. אם אינך בטוח לגבי הנוכחות של תוכנות זדוניות אחרות, באפשרותך לעצב ולהתקין מחדש את כל התוכנה במכשיר. עבור מכשירים ניידים, באפשרותך לבצע את שלבי היצרן כדי לאפס את המכשיר לתמונת היצרן.

4. התקן את הגירסאות העדכניות ביותר של Outlook. זכור, הגירסה הנוכחית של Outlook חוסמת את שני סוגי התקיפה כברירת מחדל.

5. לאחר הסרת כל העותקים הלא מקוונים של תיבת הדואר, בצע את השלבים הבאים:

   • אפס את סיסמת המשתמש באמצעות ערך באיכות גבוהה (אורך ומורכבות).
   • אם אימות רב-גורמי (MFA) אינו מופעל עבור המשתמש, בצע את השלבים במאמר הגדרת אימות רב-גורמי עבור משתמשים

   שלבים אלה מבטיחים אישורי המשתמש אינם חשופים באמצעות אמצעים אחרים (לדוגמה, דיוג או שימוש חוזר בסיסמה).

שימוש ב- PowerShell

התחבר לסביבת Exchange PowerShell הנדרשת:

• תיבות דואר בשרתי Exchange מקומיים: התחבר לשרתי Exchange באמצעות PowerShell מרוחק או פתח את מעטפת ניהול Exchange.

• תיבות דואר Exchange Online: התחברות Exchange Online PowerShell.

לאחר ההתחברות לסביבת Exchange PowerShell הנדרשת, באפשרותך לבצע את הפעולות הבאות בכללי תיבת הדואר הנכנס בתיבות הדואר של המשתמשים:

• הצגת כללי תיבת דואר נכנס בתיבת דואר:

  • הצגת רשימת סיכום של כל הכללים

    Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com
    

  • הצג מידע מפורט עבור כלל ספציפי:

    Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name" | Format-List
    

  לקבלת מידע מפורט על התחביר והפרמטרים, ראה Get-InboxRule.

• הסרת כללי תיבת דואר נכנס מתיבת דואר:

  • הסר כלל ספציפי:

    Remove-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name"
    

  • הסר את כל הכללים:

    Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com | Remove-InboxRule
    

  לקבלת מידע מפורט על התחביר והפרמטרים, ראה Remove-InboxRule.

• ביטול כלל תיבת דואר נכנס לבדיקה נוספת:

  Disable-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name"
  

  לקבלת מידע מפורט על התחביר והפרמטרים, ראה Disable-InboxRule.

כיצד למזער מתקפות עתידיות

תחילה: הגנה על חשבונות

התוקף Forms לרעה של הכללים וההפרות משמשים תוקף רק לאחר שהוא גנב או הפר חשבון של משתמש. לכן, השלב הראשון שלך למנוע את השימוש בניצולים לרעה אלה כנגד הארגון שלך הוא להגן באופן אגרסיבי על חשבונות משתמשים. חלק מהדרכים הנפוצות ביותר להפרת חשבונות הן באמצעות מתקפות דיוג או תרסיס סיסמה.

הדרך הטובה ביותר להגן על חשבונות משתמשים (במיוחד חשבונות מנהל מערכת) היא להגדיר MFA עבור משתמשים. עליך גם:

• נטר את אופן הגישה ואופן הגישה של חשבונות משתמשים. ייתכן שלא תמנע את ההפרה הראשונית, אך תוכל לקצר את משך ההפרה ואת השפעתה על-ידי זיהויה מוקדם יותר. באפשרותך להשתמש במדיניות אבטחת יישומי ענן של Office 365 כדי לנטר חשבונות ולהתריע בהתראות על פעילות חריגה:

  • מספר נסיונות כניסה שנכשלו: מפעיל התראה כאשר משתמשים מבצעים פעילויות כניסה כושלות מרובות בהפעלה אחת ביחס לבסיס הבסיסי הנלמד, מה שעשוי להצביע על הפרה של ניסיון.

  • נסיעה בלתי אפשרית: מפעיל התראה כאשר פעילויות מזוהות מאותו משתמש במיקומים שונים בתוך פרק זמן קצר יותר משציפית בזמן נסיעה בין שני המיקומים. פעילות זו עשויה להצביע על כך שמשתמש אחר משתמש באותם אישורים. זיהוי התנהגות חריגה זו מצריכה תקופת למידה ראשונית של שבעה ימים כדי ללמוד דפוס פעילות של משתמש חדש.

  • פעילות התחזות לא שגרתית (על-ידי המשתמש): מפעילה התראה כאשר משתמשים מבצעים פעילויות התחזות מרובות בהפעלה אחת ביחס לבסיס השורה הנלמד, מה שעשוי להצביע על הפרה שניסתה לבצע.

• השתמש בכלי כגון 'ניקוד Office 365 מאובטח' כדי לנהל תצורות ו אופני פעולה של אבטחת חשבון.

שני: שמירה על עדכניות לקוחות Outlook

גירסאות מעודכנות ומעודכנת במלואן של Outlook 2013 ו- Outlook 2016 מבטלות את פעולת הכלל/הטופס "הפעל יישום" כברירת מחדל. גם אם תוקף מפר את החשבון, פעולות הכלל וה טופס נחסמות. באפשרותך להתקין את העדכונים האחרונים ואת תיקוני האבטחה האחרונים על-ידי ביצוע השלבים במאמר התקנת עדכוני Office.

להלן גירסאות התיקון עבור לקוחות Outlook 2013 ו- Outlook 2016:

• Outlook 2016: 16.0.4534.1001 ואילך.
• Outlook 2013: 15.0.4937.1000 ואילך.

לקבלת מידע נוסף על תיקוני האבטחה הבודדים, ראה:

• Outlook 2016 אבטחה של Outlook 2016
• תיקון אבטחה של Outlook 2013

שלישי: ניטור לקוחות Outlook

גם כאשר התיקונים והעדכונים מותקנים, תוקף יכול לשנות את תצורת המחשב המקומי כדי להפעיל מחדש את אופן הפעולה של 'הפעל יישום'. באפשרותך להשתמש ב'ניהול מדיניות קבוצתית מתקדם' כדי לנטר ולאכוף פריטי מדיניות של מחשב מקומי במכשירי לקוח.

באפשרותך לראות אם האפשרות 'הפעל יישום' הופעלה מחדש באמצעות עקיפה ברישום באמצעות המידע במאמר כיצד להציג את רישום המערכת באמצעות גירסאות 64 סיביות של Windows. בדוק את מפתחות המשנה הבאים:

• Outlook 2016 אישית:HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Security\
• Outlook 2013: HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Security\

חפש את המפתח EnableUnsafeClientMailRules:

• אם הערך הוא 1, תיקון האבטחה של Outlook הוחלף והמחשב פגיע להתקפת טופס/כללים.
• אם הערך הוא 0, הפעולה "הפעל יישום" אינה זמינה.
• אם מפתח הרישום אינו קיים והגירסה המעודכנת והמשויכנת של Outlook מותקנת, המערכת אינה חשופה להתקפות אלה.

לקוחות עם התקנות Exchange מקומיות צריכים לשקול לחסום גירסאות ישנות יותר של Outlook שאין תיקונים זמינים. ניתן למצוא פרטים על תהליך זה במאמר קביעת תצורה של חסימת לקוח Outlook.

למידע נוסף:

• כללי Outlook זדוניים על-ידי הצבת אבטחה שקטה אודות Rules Vector מספק סקירה מפורטת של האופן שבו כללי Outlook.
• MAPI over HTTP and Mailrule Pwnage on the Sensepost blog about Mailrule Pwnage discusses a tool called Ruler that lets you exploit mailboxes through Outlook rules.
• Outlook forms and shells on the Sensepost blog about Forms Threat Vector.
• בסיס קוד של סרגל
• מחווני הסרגל לסכנה