Outlook-regels en aanvallen met aangepaste Forms-injecties detecteren en herstellen

• Van toepassing op:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en voorwaarden voor proefversies vindt u hier.

Samenvatting Meer informatie over het herkennen en herstellen van de Outlook-regels en aangepaste Forms injectieaanvallen in Office 365.

Wat zijn de Outlook-regels en aangepaste Forms-injectieaanval?

Nadat een aanvaller toegang heeft tot uw organisatie, probeert hij of zij voet aan de grond te krijgen om binnen te blijven of terug te komen nadat ze zijn gedetecteerd. Deze activiteit wordt het tot stand brengen van een persistentiemechanisme genoemd. Er zijn twee manieren waarop een aanvaller Outlook kan gebruiken om een persistentiemechanisme tot stand te brengen:

• Door gebruik te maken van Outlook-regels.
• Door aangepaste formulieren in Outlook te injecteren.

Het opnieuw installeren van Outlook of zelfs het geven van een nieuwe computer aan de betreffende persoon helpt niet. Wanneer de nieuwe installatie van Outlook verbinding maakt met het postvak, worden alle regels en formulieren vanuit de cloud gesynchroniseerd. De regels of formulieren zijn meestal ontworpen om externe code uit te voeren en malware op de lokale computer te installeren. De malware steelt referenties of voert andere illegale activiteiten uit.

Het goede nieuws is: als u Outlook-clients patcht naar de nieuwste versie, bent u niet kwetsbaar voor de bedreiging omdat de huidige Outlook-client standaardinstellingen beide mechanismen blokkeren.

De aanvallen volgen meestal deze patronen:

De regelsexplosing:

1. De aanvaller steelt de referenties van een gebruiker.
2. De aanvaller meldt zich aan bij het Exchange-postvak van die gebruiker (Exchange Online of on-premises Exchange).
3. De aanvaller maakt een regel voor postvak IN doorsturen in het postvak. De doorstuurregel wordt geactiveerd wanneer het postvak een specifiek bericht van de aanvaller ontvangt dat overeenkomt met de voorwaarden van de regel. De regelvoorwaarden en berichtindeling zijn op elkaar afgestemd.
4. De aanvaller verzendt de trigger-e-mail naar het gecompromitteerde postvak, dat nog steeds als normaal wordt gebruikt door de nietsvermoedende gebruiker.
5. Wanneer het postvak een bericht ontvangt dat overeenkomt met de voorwaarden van de regel, wordt de actie van de regel toegepast. De regelactie is meestal het starten van een toepassing op een externe (WebDAV)-server.
6. Doorgaans installeert de toepassing malware op de computer van de gebruiker (bijvoorbeeld PowerShell Empire).
7. De malware stelt de aanvaller in staat om de gebruikersnaam en het wachtwoord van de gebruiker of andere referenties van de lokale computer te stelen (of opnieuw te stelen) en andere schadelijke activiteiten uit te voeren.

De Forms Exploit:

1. De aanvaller steelt de referenties van een gebruiker.
2. De aanvaller meldt zich aan bij het Exchange-postvak van die gebruiker (Exchange Online of on-premises Exchange).
3. De aanvaller voegt een aangepaste e-mailformuliersjabloon in het postvak van de gebruiker in. Het aangepaste formulier wordt geactiveerd wanneer het postvak een specifiek bericht van de aanvaller ontvangt waarvoor het postvak het aangepaste formulier moet laden. Het aangepaste formulier en de berichtindeling zijn op elkaar afgestemd.
4. De aanvaller verzendt de trigger-e-mail naar het gecompromitteerde postvak, dat nog steeds als normaal wordt gebruikt door de nietsvermoedende gebruiker.
5. Wanneer het postvak het bericht ontvangt, laadt het postvak het vereiste formulier. Het formulier start een toepassing op een externe (WebDAV)-server.
6. Doorgaans installeert de toepassing malware op de computer van de gebruiker (bijvoorbeeld PowerShell Empire).
7. De malware stelt de aanvaller in staat om de gebruikersnaam en het wachtwoord van de gebruiker of andere referenties van de lokale computer te stelen (of opnieuw te stelen) en andere schadelijke activiteiten uit te voeren.

Hoe ziet een aanval met regels en aangepaste Forms injectie eruit Office 365?

Het is onwaarschijnlijk dat gebruikers deze persistentiemechanismen opmerken en ze kunnen zelfs onzichtbaar voor hen zijn. In de volgende lijst worden de tekens (indicatoren van inbreuk) beschreven die aangeven dat herstelstappen vereist zijn:

• Indicatoren van het compromis regels:

  • Regelactie is het starten van een toepassing.
  • Regel Verwijst naar een EXE, ZIP of URL.
  • Zoek op de lokale computer naar nieuwe processen die afkomstig zijn van de Outlook PID.

• Indicatoren van het inbreuk op aangepaste formulieren:

  • Aangepaste formulieren die aanwezig zijn opgeslagen als hun eigen berichtklasse.
  • Berichtklasse bevat uitvoerbare code.
  • Schadelijke formulieren worden doorgaans opgeslagen in de mappen Persoonlijke Forms Bibliotheek of Postvak IN.
  • Formulier heet IPM. Opmerking. [aangepaste naam].

Stappen voor het vinden van tekenen van deze aanval en het bevestigen ervan

U kunt een van de volgende methoden gebruiken om de aanval te bevestigen:

• Controleer handmatig de regels en formulieren voor elk postvak met behulp van de Outlook-client. Deze methode is grondig, maar u kunt slechts één postvak tegelijk controleren. Deze methode kan zeer tijdrovend zijn als u veel gebruikers hebt om te controleren en kan ook de computer die u gebruikt infecteren.

• Gebruik het Get-AllTenantRulesAndForms.ps1 PowerShell-script om automatisch alle regels voor het doorsturen van e-mail en aangepaste formulieren te dumpen voor alle gebruikers in uw organisatie. Deze methode is de snelste en veiligste met de minste overhead.

  Opmerking

  Vanaf januari 2021 is het script (en al het andere in de opslagplaats) alleen-lezen en gearchiveerd. De regels 154 tot en met 158 proberen verbinding te maken met Exchange Online PowerShell met behulp van een methode die niet meer wordt ondersteund vanwege de afschaffing van externe PowerShell-verbindingen in juli 2023. Verwijder de regels 154 tot en met 158 en Maak verbinding met Exchange Online PowerShell voordat u het script uitvoert.

Bevestig de regelaanval met behulp van de Outlook-client

1. Open de Outlook-client van gebruikers als de gebruiker. De gebruiker heeft mogelijk uw hulp nodig bij het controleren van de regels in het postvak.

2. Raadpleeg het artikel E-mailberichten beheren met behulp van regels voor de procedures voor het openen van de regelinterface in Outlook.

3. Zoek naar regels die de gebruiker niet heeft gemaakt of onverwachte regels of regels met verdachte namen.

4. Zoek in de regelbeschrijving naar regelacties die worden gestart en die een toepassing starten of verwijzen naar een .EXE, .ZIP bestand of naar het starten van een URL.

5. Zoek naar nieuwe processen die de Outlook-proces-id gaan gebruiken. Raadpleeg De proces-id zoeken.

Stappen voor het bevestigen van de Forms-aanval met behulp van de Outlook-client

1. Open de Outlook-client van de gebruiker als de gebruiker.

2. Volg de stappen in Het tabblad Ontwikkelaars weergeven voor de versie van Outlook van de gebruiker.

3. Open het nu zichtbare tabblad Ontwikkelaars in Outlook en selecteer Een formulier ontwerpen.

4. Selecteer het Postvak IN in de lijst Zoeken in . Zoek naar aangepaste formulieren. Aangepaste formulieren zijn zo zeldzaam dat als u al aangepaste formulieren hebt, het de moeite waard is om dieper te kijken.

5. Onderzoek alle aangepaste formulieren, met name formulieren die zijn gemarkeerd als verborgen.

6. Open aangepaste formulieren en selecteer in de groep Formulierde optie Code weergeven om te zien wat wordt uitgevoerd wanneer het formulier wordt geladen.

Stappen voor het bevestigen van de aanval met regels en Forms met behulp van PowerShell

De eenvoudigste manier om een aanval met regels of aangepaste formulieren te controleren, is door het Get-AllTenantRulesAndForms.ps1 PowerShell-script uit te voeren. Dit script maakt verbinding met elk postvak in uw organisatie en dumpt alle regels en formulieren in twee .csv bestanden.

Vereisten

U moet lid zijn van de rol Globale beheerder in Microsoft Entra ID of de rollengroep Organisatiebeheer in Exchange Online, omdat het script verbinding maakt met elk postvak in de organisatie om regels en formulieren te lezen.

1. Gebruik een account met lokale beheerdersrechten om u aan te melden bij de computer waarop u het script wilt uitvoeren.

2. Download of kopieer de inhoud van het Get-AllTenantRulesAndForms.ps1 script van GitHub naar een map die u gemakkelijk kunt vinden en waaruit het script kan worden uitgevoerd. Het script maakt twee bestanden met een datumstempel in de map: MailboxFormsExport-yyyy-MM-dd.csv en MailboxRulesExport-yyyy-MM-dd.csv.

   Verwijder regels 154 tot en met 158 uit het script, omdat deze verbindingsmethode niet meer werkt vanaf juli 2023.

3. Verbinding maken met Exchange Online PowerShell.

4. Navigeer in PowerShell naar de map waarin u het script hebt opgeslagen en voer vervolgens de volgende opdracht uit:

   .\Get-AllTenantRulesAndForms.ps1
   

De uitvoer interpreteren

• MailboxRulesExport-jjjj-MM-dd.csv: Controleer de regels (één per rij) op actievoorwaarden die toepassingen of uitvoerbare bestanden bevatten:
  • ActionType (kolom A): de regel is waarschijnlijk schadelijk als deze kolom de waarde ID_ACTION_CUSTOMbevat.
  • IsPotentiallyMalicious (kolom D): de regel is waarschijnlijk schadelijk als deze kolom de waarde TRUEbevat.
  • ActionCommand (kolom G): de regel is waarschijnlijk schadelijk als deze kolom een van de volgende waarden bevat:
    • Een toepassing.
    • Een .exe- of .zip-bestand.
    • Een onbekende vermelding die verwijst naar een URL.
• MailboxFormsExport-jjjj-MM-dd.csv: Over het algemeen is het gebruik van aangepaste formulieren zeldzaam. Als u een werkmap vindt, opent u het postvak van die gebruiker en bekijkt u het formulier zelf. Als uw organisatie deze niet opzettelijk heeft geplaatst, is het waarschijnlijk schadelijk.

De Outlook-regels en Forms-aanval stoppen en herstellen

Als u bewijs van een van deze aanvallen vindt, is herstel eenvoudig: verwijder de regel of het formulier in het postvak. U kunt de regel of het formulier verwijderen met behulp van de Outlook-client of exchange PowerShell.

Outlook gebruiken

1. Identificeer alle apparaten waarop de gebruiker Outlook heeft gebruikt. Ze moeten allemaal worden opgeschoond van mogelijke malware. Pas toestaan dat de gebruiker zich aanmeldt en e-mail gebruikt als alle apparaten zijn opgeschoond.

2. Volg op elk apparaat de stappen in Een regel verwijderen.

3. Als u niet zeker weet of er andere malware is, kunt u alle software op het apparaat formatteren en opnieuw installeren. Voor mobiele apparaten kunt u de stappen van de fabrikant volgen om het apparaat opnieuw in te stellen op de fabrieksinstallatiekopieën.

4. Installeer de meest recente versies van Outlook. Houd er rekening mee dat de huidige versie van Outlook beide typen aanvallen standaard blokkeert.

5. Nadat alle offlinekopieën van het postvak zijn verwijderd, voert u de volgende stappen uit:

   • Stel het wachtwoord van de gebruiker opnieuw in met een waarde van hoge kwaliteit (lengte en complexiteit).
   • Als meervoudige verificatie (MFA) niet is ingeschakeld voor de gebruiker, volgt u de stappen in Meervoudige verificatie instellen voor gebruikers

   Deze stappen zorgen ervoor dat de referenties van de gebruiker niet op andere manieren worden weergegeven (bijvoorbeeld phishing of wachtwoordhergebruik).

PowerShell gebruiken

Maak verbinding met de vereiste Exchange PowerShell-omgeving:

• Postvakken op on-premises Exchange-servers: maak verbinding met Exchange-servers met behulp van externe PowerShell of open de Exchange Management Shell.

• Postvakken in Exchange Online: maak verbinding met Exchange Online PowerShell.

Nadat u verbinding hebt gemaakt met de vereiste Exchange PowerShell-omgeving, kunt u de volgende acties uitvoeren op regels voor Postvak IN in postvakken van gebruikers:

• Regels voor Postvak IN weergeven in een postvak:

  • Een overzichtslijst met alle regels weergeven

    Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com
    

  • Gedetailleerde informatie voor een specifieke regel weergeven:

    Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name" | Format-List
    

  Zie Get-InboxRule voor gedetailleerde syntaxis- en parameterinformatie.

• Regels voor Postvak IN verwijderen uit een postvak:

  • Een specifieke regel verwijderen:

    Remove-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name"
    

  • Alle regels verwijderen:

    Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com | Remove-InboxRule
    

  Zie Remove-InboxRule voor gedetailleerde syntaxis- en parameterinformatie.

• Schakel een regel voor Postvak IN uit voor verder onderzoek:

  Disable-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name"
  

  Zie Disable-InboxRule voor gedetailleerde syntaxis- en parameterinformatie.

Toekomstige aanvallen minimaliseren

Ten eerste: accounts beveiligen

De regels en Forms exploits worden alleen gebruikt door een aanvaller nadat deze het account van een gebruiker heeft gestolen of geschonden. Uw eerste stap om het gebruik van deze aanvallen tegen uw organisatie te voorkomen, is dus het agressief beveiligen van gebruikersaccounts. Enkele van de meest voorkomende manieren waarop accounts worden geschonden, zijn phishing- of wachtwoordsprayaanvallen.

De beste manier om gebruikersaccounts (met name beheerdersaccounts) te beveiligen, is door MFA in te stellen voor gebruikers. U moet ook het volgende doen:

• Bewaken hoe gebruikersaccounts worden geopend en gebruikt. U kunt de eerste schending niet voorkomen, maar u kunt de duur en de gevolgen van de inbreuk verkorten door deze eerder te detecteren. U kunt deze Office 365 Cloud App Security-beleidsregels gebruiken om accounts te bewaken en u te waarschuwen voor ongebruikelijke activiteiten:

  • Meerdere mislukte aanmeldingspogingen: hiermee wordt een waarschuwing geactiveerd wanneer gebruikers meerdere mislukte aanmeldingsactiviteiten uitvoeren in één sessie met betrekking tot de geleerde basislijn, wat kan duiden op een poging tot inbreuk.

  • Onmogelijk reizen: hiermee wordt een waarschuwing geactiveerd wanneer activiteiten van dezelfde gebruiker op verschillende locaties worden gedetecteerd binnen een periode die korter is dan de verwachte reistijd tussen de twee locaties. Deze activiteit kan erop wijzen dat een andere gebruiker dezelfde referenties gebruikt. Voor het detecteren van dit afwijkende gedrag is een initiële leerperiode van zeven dagen nodig om het activiteitenpatroon van een nieuwe gebruiker te leren.

  • Ongebruikelijke geïmiteerde activiteit (door gebruiker): activeert een waarschuwing wanneer gebruikers meerdere geïmiteerde activiteiten uitvoeren in één sessie met betrekking tot de geleerde basislijn, wat kan duiden op een poging tot inbreuk.

• Gebruik een hulpprogramma zoals Office 365 Secure Score om accountbeveiligingsconfiguraties en -gedrag te beheren.

Ten tweede: Outlook-clients actueel houden

Volledig bijgewerkte en gepatchte versies van Outlook 2013 en 2016 schakelen de regel-/formulieractie Toepassing starten standaard uit. Zelfs als een aanvaller het account schendt, worden de regel- en formulieracties geblokkeerd. U kunt de nieuwste updates en beveiligingspatches installeren door de stappen in Office-updates installeren te volgen.

Dit zijn de patchversies voor Outlook 2013- en 2016-clients:

• Outlook 2016: 16.0.4534.1001 of hoger.
• Outlook 2013: 15.0.4937.1000 of hoger.

Zie voor meer informatie over de afzonderlijke beveiligingspatches:

• Outlook 2016-beveiligingspatch
• Outlook 2013-beveiligingspatch

Ten derde: Outlook-clients bewaken

Zelfs wanneer de patches en updates zijn geïnstalleerd, is het mogelijk dat een aanvaller de configuratie van de lokale computer wijzigt om het gedrag 'Toepassing starten' opnieuw in te schakelen. U kunt Advanced groepsbeleid Management gebruiken om beleid voor lokale machines op clientapparaten te bewaken en af te dwingen.

U kunt zien of 'Toepassing starten' opnieuw is ingeschakeld via een onderdrukking in het register met behulp van de informatie in Het systeemregister weergeven met behulp van 64-bits versies van Windows. Controleer deze subsleutels:

• Outlook 2016:HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Security\
• Outlook 2013: HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Security\

Zoek de sleutel EnableUnsafeClientMailRules:

• Als de waarde 1 is, is de Outlook-beveiligingspatch overschreven en is de computer kwetsbaar voor de aanval formulier/regels.
• Als de waarde 0 is, wordt de actie Toepassing starten uitgeschakeld.
• Als de registersleutel niet aanwezig is en de bijgewerkte en gepatchte versie van Outlook is geïnstalleerd, is het systeem niet kwetsbaar voor deze aanvallen.

Klanten met on-premises Exchange-installaties moeten overwegen oudere versies van Outlook te blokkeren die geen patches beschikbaar hebben. Meer informatie over dit proces vindt u in het artikel Outlook-clientblokkering configureren.

Zie ook:

• Schadelijke Outlook-regels door SilentBreak Security Post over Regelvector biedt een gedetailleerd overzicht van hoe de Outlook-regels.
• MAPI via HTTP en Mailrule Pwnage op de Sensepost-blog over Mailrule Pwnage bespreekt een hulpprogramma met de naam Liniaal waarmee u postvakken kunt misbruiken via Outlook-regels.
• Outlook-formulieren en -shells op de Sensepost-blog over Forms Bedreigingsvector.
• Liniaalcodebasis
• Liniaalindicatoren van inbreuk