Oppdage og utbedre Outlook-regler og egendefinerte Forms injeksjonsangrep

• Gjelder for:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Lær om hvem som kan registrere deg og prøveabonnementer på Prøv Microsoft Defender for Office 365.

Sammendrag Lær hvordan du gjenkjenner og utbedrer Outlook-reglene og egendefinerte Forms injeksjonsangrep i Office 365.

Hva er Outlook-reglene og Forms innsettingsangrep?

Etter at en angriper får tilgang til organisasjonen, prøver de å etablere et fotfeste for å holde seg i eller komme tilbake etter at de er oppdaget. Denne aktiviteten kalles etablering av en vedvarende mekanisme. Det finnes to måter en angriper kan bruke Outlook til å etablere en vedvarende mekanisme på:

• Ved å utnytte Outlook-regler.
• Ved å sette inn egendefinerte skjemaer i Outlook.

Det hjelper ikke å installere Outlook på nytt, eller gi den berørte personen en ny datamaskin. Når den nye installasjonen av Outlook kobles til postboksen, synkroniseres alle regler og skjemaer fra skyen. Reglene eller skjemaene er vanligvis utformet for å kjøre ekstern kode og installere skadelig programvare på den lokale maskinen. Den skadelige programvaren stjeler legitimasjon eller utfører annen ulovlig aktivitet.

Den gode nyheten er: Hvis du holder Outlook-klienter oppdatert til den nyeste versjonen, er du ikke sårbar for trusselen, da gjeldende Outlook-klientstandarder blokkerer begge mekanismene.

Angrepene følger vanligvis disse mønstrene:

Reglene utnytter:

1. Angriperen stjeler legitimasjonen til en bruker.
2. Angriperen logger seg på brukerens Exchange-postboks (Exchange Online eller lokal Exchange).
3. Angriperen oppretter en innboksregel for videresending i postboksen. Videresendingsregelen utløses når postboksen mottar en bestemt melding fra angriperen som samsvarer med betingelsene for regelen. Regelbetingelsene og meldingsformatet er skreddersydd for hverandre.
4. Angriperen sender utløser-e-posten til den kompromitterte postboksen, som fortsatt brukes som normalt av den intetanende brukeren.
5. Når postboksen mottar en melding som samsvarer med regelvilkårene, brukes handlingen til regelen. Regelhandlingen er vanligvis å starte et program på en ekstern (WebDAV)-server.
6. Vanligvis installerer programmet skadelig programvare på brukerens maskin (for eksempel PowerShell Empire).
7. Den skadelige programvaren gjør det mulig for angriperen å stjele (eller stjele på nytt) brukerens brukernavn og passord eller annen legitimasjon fra lokal maskin og utføre andre ondsinnede aktiviteter.

Den Forms Exploit:

1. Angriperen stjeler legitimasjonen til en bruker.
2. Angriperen logger seg på brukerens Exchange-postboks (Exchange Online eller lokal Exchange).
3. Angriperen setter inn en egendefinert e-postskjemamal i brukerens postboks. Det egendefinerte skjemaet utløses når postboksen mottar en bestemt melding fra angriperen som krever at postboksen laster inn det egendefinerte skjemaet. Det egendefinerte skjemaet og meldingsformatet er skreddersydd for hverandre.
4. Angriperen sender utløser-e-posten til den kompromitterte postboksen, som fortsatt brukes som normalt av den intetanende brukeren.
5. Når postboksen mottar meldingen, laster postboksen inn det nødvendige skjemaet. Skjemaet starter et program på en ekstern (WebDAV)-server.
6. Vanligvis installerer programmet skadelig programvare på brukerens maskin (for eksempel PowerShell Empire).
7. Den skadelige programvaren gjør det mulig for angriperen å stjele (eller stjele på nytt) brukerens brukernavn og passord eller annen legitimasjon fra lokal maskin og utføre andre ondsinnede aktiviteter.

Hvordan kan et regler og egendefinert Forms innsettingsangrep se ut Office 365?

Brukere vil neppe legge merke til disse vedvarende mekanismene, og de kan til og med være usynlige for dem. Listen nedenfor beskriver tegnene (indikatorer for kompromiss) som angir at utbedringstrinn kreves:

• Indikatorer for regelkompromisset:

  • Regelhandling er å starte et program.
  • Regel refererer til en EXE- eller ZIP-adresse.
  • Se etter nye prosessstarter på den lokale maskinen som kommer fra Outlook PID.

• Indikatorer for kompromiss mellom egendefinerte skjemaer:

  • Egendefinerte skjemaer er lagret som sin egen meldingsklasse.
  • Meldingsklassen inneholder kjørbar kode.
  • Skadelige skjemaer lagres vanligvis i personlige Forms bibliotek- eller innboksmapper.
  • Skjemaet heter IPM. Notat. [egendefinert navn].

Fremgangsmåte for å finne tegn på dette angrepet og bekrefte det

Du kan bruke én av følgende metoder for å bekrefte angrepet:

• Undersøk reglene og skjemaene manuelt for hver postboks ved hjelp av Outlook-klienten. Denne metoden er grundig, men du kan bare merke av i én postboks om gangen. Denne metoden kan være svært tidkrevende hvis du har mange brukere å kontrollere, og kan også infisere datamaskinen du bruker.

• Bruk Get-AllTenantRulesAndForms.ps1 PowerShell-skript til automatisk å dumpe alle videresendingsregler og egendefinerte skjemaer for alle brukerne i organisasjonen. Denne metoden er den raskeste og sikreste med minst mulig kostnadsmengde.

  Obs!

  Fra og med januar 2021 er skriptet (og alt annet i repositoriet) skrivebeskyttet og arkivert. Linjer fra 154 til 158 forsøker å koble til Exchange Online PowerShell ved hjelp av en metode som ikke lenger støttes på grunn av nedgraderingen av eksterne PowerShell-tilkoblinger i juli 2023. Fjern linjene 154 til 158 og koble til Exchange Online PowerShell før du kjører skriptet.

Bekreft regelangrep ved hjelp av Outlook-klienten

1. Åpne Brukernes Outlook-klient som bruker. Brukeren trenger kanskje din hjelp til å undersøke reglene i postboksen.

2. Se behandle e-postmeldinger ved hjelp av regelartikkelen for fremgangsmåtene for hvordan du åpner regelgrensesnittet i Outlook.

3. Se etter regler som brukeren ikke opprettet, eller uventede regler eller regler med mistenkelige navn.

4. Se i regelbeskrivelsen etter regelhandlinger som starter og programmerer, eller refererer til en .EXE, .ZIP fil eller for å starte en nettadresse.

5. Se etter nye prosesser som begynner å bruke Prosess-ID-en for Outlook. Se Finn prosess-ID-en.

Fremgangsmåte for å bekrefte Forms-angrepet ved hjelp av Outlook-klienten

1. Åpne brukerens Outlook-klient som bruker.

2. Følg trinnene i Vis Utvikler-fanen for brukerens versjon av Outlook.

3. Åpne den nå synlige utviklerfanen i Outlook, og velg utform et skjema.

4. Velg innboksen fra Søk i-listen . Se etter egendefinerte skjemaer. Egendefinerte skjemaer er sjeldne nok til at hvis du har egendefinerte skjemaer i det hele tatt, er det verdt et dypere utseende.

5. Undersøk eventuelle egendefinerte skjemaer, spesielt skjemaer merket som skjult.

6. Åpne eventuelle egendefinerte skjemaer, og velg Vis kode i Skjema-gruppen for å se hva som kjøres når skjemaet lastes inn.

Trinn for å bekrefte regler og Forms angrep ved hjelp av PowerShell

Den enkleste måten å bekrefte et regler- eller egendefinert skjemaangrep på, er å kjøre Get-AllTenantRulesAndForms.ps1 PowerShell-skriptet. Dette skriptet kobles til alle postboksene i organisasjonen og dumper alle regler og skjemaer i to .csv filer.

Forutsetninger

Du må være medlem av rollen global administrator^* i Microsoft Entra ID eller rollegruppen organisasjonsadministrasjon i Exchange Online, fordi skriptet kobles til hver postboks i organisasjonen for å lese regler og skjemaer.

Viktig

^* Microsoft anbefaler at du bruker roller med færrest tillatelser. Bruk av kontoer med lavere tillatelser bidrar til å forbedre sikkerheten for organisasjonen. Global administrator er en svært privilegert rolle som bør begrenses til nødscenarioer når du ikke kan bruke en eksisterende rolle.

1. Bruk en konto med lokale administratorrettigheter til å logge på datamaskinen der du har tenkt å kjøre skriptet.

2. Last ned eller kopier innholdet i detGet-AllTenantRulesAndForms.ps1 skriptet fra GitHub til en mappe som er enkel å finne og kjøre skriptet fra. Skriptet oppretter to datostemplete filer i mappen: MailboxFormsExport-yyyy-MM-dd.csv og MailboxRulesExport-yyyy-MM-dd.csv.

   Fjern linjene 154 til 158 fra skriptet, fordi denne tilkoblingsmetoden ikke lenger fungerer fra og med juli 2023.

3. Koble til Exchange Online PowerShell.

4. Naviger i PowerShell til mappen der du lagret skriptet, og kjør deretter følgende kommando:

   .\Get-AllTenantRulesAndForms.ps1
   

Tolke utdataene

• MailboxRulesExport-yyyy-MM-dd.csv: Undersøk reglene (én per rad) for handlingsbetingelser som inkluderer programmer eller kjørbare filer:
  • ActionType (kolonne A): Regelen er sannsynligvis skadelig hvis denne kolonnen inneholder verdien ID_ACTION_CUSTOM.
  • IsPotentiallyMalicious (kolonne D): Regelen er sannsynligvis skadelig hvis denne kolonnen inneholder verdien TRUE.
  • ActionCommand (kolonne G): Regelen er sannsynligvis skadelig hvis denne kolonnen inneholder noen av følgende verdier:
    • Et program.
    • En .exe- eller .zip-fil.
    • En ukjent oppføring som refererer til en URL-adresse.
• MailboxFormsExport-yyyy-MM-dd.csv: Generelt sett er bruken av egendefinerte skjemaer sjelden. Hvis du finner noen i denne arbeidsboken, åpner du brukerens postboks og undersøker selve skjemaet. Hvis organisasjonen ikke la den der med hensikt, er den sannsynligvis skadelig.

Slik stopper og utbedrer du Outlook-reglene og Forms angrep

Hvis du finner noen bevis på et av disse angrepene, er utbedring enkel: bare slett regelen eller skjemaet i postboksen. Du kan slette regelen eller skjemaet ved hjelp av Outlook-klienten eller ved hjelp av Exchange PowerShell.

Bruke Outlook

1. Identifiser alle enheter der brukeren har brukt Outlook. Alle må rengjøres for potensiell skadelig programvare. Ikke tillat brukeren å logge på og bruke e-post før alle enheter er renset.

2. Følg trinnene i Slett en regel på hver enhet.

3. Hvis du er usikker på tilstedeværelsen av annen skadelig programvare, kan du formatere og installere all programvaren på enheten på nytt. For mobile enheter kan du følge trinnene fra produsenter for å tilbakestille enheten til fabrikkbildet.

4. Installer de mest oppdaterte versjonene av Outlook. Husk at gjeldende versjon av Outlook blokkerer begge typer av dette angrepet som standard.

5. Når alle frakoblede kopier av postboksen er fjernet, gjør du følgende:

   • Tilbakestill brukerens passord ved hjelp av en høy kvalitetsverdi (lengde og kompleksitet).
   • Hvis godkjenning med flere faktorer (MFA) ikke er aktivert for brukeren, følger du fremgangsmåten i konfigurasjon av godkjenning med flere faktorer for brukere

   Disse trinnene sikrer at brukerens legitimasjon ikke vises på andre måter (for eksempel gjenbruk av phishing eller passord).

Bruke PowerShell

Koble til det nødvendige Exchange PowerShell-miljøet:

• Postbokser på lokale Exchange-servere: Koble til Exchange-servere ved hjelp av ekstern PowerShell eller Åpne Exchange Management Shell.

• Postbokser i Exchange Online: Koble til Exchange Online PowerShell.

Når du har koblet til det nødvendige Exchange PowerShell-miljøet, kan du utføre følgende handlinger på innboksregler i brukerpostbokser:

• Vis innboksregler i en postboks:

  • Vise en sammendragsliste over alle regler

    Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com
    

  • Vis detaljert informasjon for en bestemt regel:

    Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name" | Format-List
    

  Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Get-InboxRule.

• Fjern innboksregler fra en postboks:

  • Fjern en bestemt regel:

    Remove-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name"
    

  • Fjern alle regler:

    Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com | Remove-InboxRule
    

  Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Remove-InboxRule.

• Slå av en innboksregel for videre undersøkelser:

  Disable-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name"
  

  Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Disable-InboxRule.

Slik minimerer du fremtidige angrep

Først: beskytt kontoer

Reglene og Forms utnyttelser brukes bare av en angriper etter at de har stjålet eller brutt en brukerkonto. Det første du må gjøre for å forhindre bruken av disse bedriftene mot organisasjonen, er derfor å beskytte brukerkontoer aggressivt. Noen av de vanligste måtene kontoer brytes på, er gjennom angrep med phishing- eller passordspray.

Den beste måten å beskytte brukerkontoer på (spesielt administratorkontoer) er å konfigurere MFA for brukere. Du bør også:

• Overvåk hvordan brukerkontoer åpnes og brukes. Du kan ikke forhindre det første bruddet, men du kan forkorte varigheten og virkningene av bruddet ved å oppdage det tidligere. Du kan bruke disse Office 365 Cloud App Security policyer til å overvåke kontoer og varsle deg om uvanlig aktivitet:

  • Flere mislykkede påloggingsforsøk: Utløser et varsel når brukere utfører flere mislykkede påloggingsaktiviteter i én enkelt økt med hensyn til den lærde grunnlinjen, noe som kan indikere et forsøk på brudd.

  • Umulig reise: Utløser et varsel når aktiviteter oppdages fra samme bruker på forskjellige steder innenfor en tidsperiode som er kortere enn forventet reisetid mellom de to stedene. Denne aktiviteten kan indikere at en annen bruker bruker samme legitimasjon. Det å oppdage denne uregelmessige virkemåten krever en innledende læringsperiode på sju dager for å lære en ny brukers aktivitetsmønster.

  • Uvanlig representert aktivitet (etter bruker): Utløser et varsel når brukere utfører flere representerte aktiviteter i én enkelt økt med hensyn til den opprinnelige planen, noe som kan indikere et forsøk på brudd.

• Bruk et verktøy som Office 365 Sikker poengsum for å administrere konfigurasjoner og virkemåter for kontosikkerhet.

For det andre: Hold Outlook-klienter oppdatert

Fullstendig oppdaterte og oppdaterte versjoner av Outlook 2013, og 2016 deaktiverer «Start program»-regelen/skjemahandlingen som standard. Selv om en angriper bryter kontoen, blokkeres regelen og skjemahandlingene. Du kan installere de nyeste oppdateringene og sikkerhetsoppdateringene ved å følge trinnene i Installer Office-oppdateringer.

Her er oppdateringsversjonene for Outlook 2013- og 2016-klienter:

• Outlook 2016: 16.0.4534.1001 eller nyere.
• Outlook 2013: 15.0.4937.1000 eller nyere.

Hvis du vil ha mer informasjon om de individuelle sikkerhetsoppdateringene, kan du se:

• Outlook 2016 sikkerhetsoppdatering
• Sikkerhetsoppdatering for Outlook 2013

Tredje: Overvåke Outlook-klienter

Selv om oppdateringer og oppdateringer er installert, er det mulig for en angriper å endre konfigurasjonen av den lokale maskinen for å aktivere «Start program»-virkemåten på nytt. Du kan bruke Advanced gruppepolicy Management til å overvåke og håndheve policyer for lokal maskin på klientenheter.

Du kan se om Start program er aktivert på nytt gjennom en overstyring i registeret ved hjelp av informasjonen i Slik viser du systemregisteret ved hjelp av 64-biters versjoner av Windows. Kontroller disse undernøklene:

• Outlook 2016:HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Security\
• Outlook 2013: HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Security\

Se etter nøkkelen EnableUnsafeClientMailRules:

• Hvis verdien er 1, har outlook-sikkerhetsoppdateringen blitt overstyrt, og datamaskinen er sårbar for skjema-/regelangrepet.
• Hvis verdien er 0, deaktiveres handlingen Start program.
• Hvis registernøkkelen ikke finnes og den oppdaterte og oppdaterte versjonen av Outlook er installert, er ikke systemet sårbart for disse angrepene.

Kunder med lokale Exchange-installasjoner bør vurdere å blokkere eldre versjoner av Outlook som ikke har tilgjengelige oppdateringer. Du finner mer informasjon om denne prosessen i artikkelen Konfigurer blokkering av Outlook-klienten.

Se også:

• Ondsinnede Outlook-regler fra SilentBreak Security Post om regelvektor gir en detaljert gjennomgang av hvordan Outlook-reglene.
• MAPI over HTTP og Mailrule Pwnage på Sensepost-bloggen om Mailrule Pwnage diskuterer et verktøy kalt Linjal som lar deg utnytte postbokser gjennom Outlook-regler.
• Outlook-skjemaer og -skjell på Sensepost-bloggen om Forms Trusselvektor.
• Kodebase for linjal
• Linjalindikatorer for kompromiss