Wykrywanie i korygowanie reguł programu Outlook oraz ataków polegających na wstrzyknięciach Forms niestandardowych

• Dotyczy:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.

Krótki opis Dowiedz się, jak rozpoznawać i korygować reguły programu Outlook oraz niestandardowe ataki Forms iniekcji w Office 365.

Co to są reguły programu Outlook i niestandardowy atak iniekcji Forms?

Gdy osoba atakująca uzyska dostęp do Twojej organizacji, spróbuje ustanowić przyczółek, aby pozostać w organizacji lub wrócić do niej po odnalezieniu. To działanie jest nazywane ustanawianiem mechanizmu trwałości. Istnieją dwa sposoby, na jakie osoba atakująca może użyć programu Outlook do ustanowienia mechanizmu trwałości:

• Wykorzystując reguły programu Outlook.
• Przez wstrzyknięcie formularzy niestandardowych do programu Outlook.

Ponowne instalowanie programu Outlook, a nawet nadanie osobie, której dotyczy problem, nowego komputera nie pomaga. Gdy nowa instalacja programu Outlook łączy się ze skrzynką pocztową, wszystkie reguły i formularze są synchronizowane z chmury. Reguły lub formularze są zwykle przeznaczone do uruchamiania kodu zdalnego i instalowania złośliwego oprogramowania na komputerze lokalnym. Złośliwe oprogramowanie kradnie poświadczenia lub wykonuje inną nielegalną działalność.

Dobra wiadomość jest następująca: jeśli klienci programu Outlook zostaną załatani do najnowszej wersji, nie będziesz narażony na zagrożenie, ponieważ bieżące ustawienia domyślne klienta programu Outlook blokują oba mechanizmy.

Ataki zazwyczaj są zgodne z następującymi wzorcami:

Luki w zabezpieczeniach reguł:

1. Osoba atakująca kradnie poświadczenia użytkownika.
2. Osoba atakująca loguje się do skrzynki pocztowej programu Exchange tego użytkownika (Exchange Online lub lokalnego programu Exchange).
3. Osoba atakująca tworzy regułę skrzynki odbiorczej przesyłania dalej w skrzynce pocztowej. Reguła przekazywania jest wyzwalana, gdy skrzynka pocztowa odbiera od osoby atakującej określoną wiadomość zgodną z warunkami reguły. Warunki reguły i format komunikatów są dostosowane do siebie nawzajem.
4. Osoba atakująca wysyła wiadomość e-mail wyzwalacza do zagrożonej skrzynki pocztowej, która jest nadal używana normalnie przez niczego nie podejrzewającego użytkownika.
5. Gdy skrzynka pocztowa otrzyma komunikat zgodny z warunkami reguły, zostanie zastosowana akcja reguły. Zazwyczaj akcją reguły jest uruchomienie aplikacji na serwerze zdalnym (WebDAV).
6. Zazwyczaj aplikacja instaluje złośliwe oprogramowanie na maszynie użytkownika (na przykład w programie PowerShell Empire).
7. Złośliwe oprogramowanie umożliwia atakującemu kradzież (lub kradzież ponownie) nazwy użytkownika i hasła użytkownika lub innych poświadczeń z komputera lokalnego i wykonywanie innych złośliwych działań.

Luki w zabezpieczeniach Forms:

1. Osoba atakująca kradnie poświadczenia użytkownika.
2. Osoba atakująca loguje się do skrzynki pocztowej programu Exchange tego użytkownika (Exchange Online lub lokalnego programu Exchange).
3. Osoba atakująca wstawia niestandardowy szablon formularza poczty do skrzynki pocztowej użytkownika. Formularz niestandardowy jest wyzwalany, gdy skrzynka pocztowa odbiera określoną wiadomość od osoby atakującej, która wymaga, aby skrzynka pocztowa załadował formularz niestandardowy. Formularz niestandardowy i format wiadomości są dostosowane do siebie nawzajem.
4. Osoba atakująca wysyła wiadomość e-mail wyzwalacza do zagrożonej skrzynki pocztowej, która jest nadal używana normalnie przez niczego nie podejrzewającego użytkownika.
5. Gdy skrzynka pocztowa odbiera wiadomość, skrzynka pocztowa ładuje wymagany formularz. Formularz uruchamia aplikację na serwerze zdalnym (WebDAV).
6. Zazwyczaj aplikacja instaluje złośliwe oprogramowanie na maszynie użytkownika (na przykład w programie PowerShell Empire).
7. Złośliwe oprogramowanie umożliwia atakującemu kradzież (lub kradzież ponownie) nazwy użytkownika i hasła użytkownika lub innych poświadczeń z komputera lokalnego i wykonywanie innych złośliwych działań.

Jak może wyglądać atak polegający na wstrzyknięciu Forms reguł i niestandardow Office 365 ych?

Użytkownicy raczej nie zauważą tych mechanizmów trwałości, a nawet mogą być dla nich niewidoczni. Na poniższej liście opisano znaki (Wskaźniki naruszenia zabezpieczeń), które wskazują, że wymagane są kroki korygowania:

• Wskaźniki naruszenia zabezpieczeń reguł:

  • Akcja reguły polega na uruchomieniu aplikacji.
  • Reguła odwołuje się do pliku EXE, ZIP lub adresu URL.
  • Na komputerze lokalnym poszukaj nowego procesu, który pochodzi z identyfikatora PID programu Outlook.

• Wskaźniki naruszenia zabezpieczeń formularzy niestandardowych:

  • Formularze niestandardowe obecne jako własne klasy komunikatów.
  • Klasa Message zawiera kod wykonywalny.
  • Zazwyczaj złośliwe formularze są przechowywane w folderach biblioteki Forms osobistej lub skrzynki odbiorczej.
  • Formularz ma nazwę IPM. Uwaga. [nazwa niestandardowa].

Kroki znajdowania oznak tego ataku i potwierdzania go

Aby potwierdzić atak, możesz użyć jednej z następujących metod:

• Ręcznie sprawdź reguły i formularze dla każdej skrzynki pocztowej przy użyciu klienta programu Outlook. Ta metoda jest dokładna, ale jednocześnie można zaznaczyć tylko jedną skrzynkę pocztową. Ta metoda może być bardzo czasochłonna, jeśli masz wielu użytkowników do sprawdzenia, a także może zainfekować komputer, który używasz.

• Użyj skryptuGet-AllTenantRulesAndForms.ps1 programu PowerShell, aby automatycznie zrzucić wszystkie reguły przekazywania wiadomości e-mail i formularze niestandardowe dla wszystkich użytkowników w organizacji. Ta metoda jest najszybsza i najbezpieczniejsza z najmniejszą ilością narzutu.

  Uwaga

  Od stycznia 2021 r. skrypt (i wszystkie inne elementy w repozytorium) są tylko do odczytu i archiwizowane. Linie 154–158 próbują nawiązać połączenie z programem Exchange Online programu PowerShell przy użyciu metody, która nie jest już obsługiwana z powodu wycofania zdalnych połączeń programu PowerShell w lipcu 2023 r. Usuń wiersze od 154 do 158 i połącz się z programem Exchange Online programu PowerShell przed uruchomieniem skryptu.

Potwierdzanie ataku reguł przy użyciu klienta programu Outlook

1. Otwórz użytkowników klienta programu Outlook jako użytkownika. Użytkownik może potrzebować Twojej pomocy w badaniu reguł w swojej skrzynce pocztowej.

2. Zapoznaj się z artykułem Zarządzanie wiadomościami e-mail przy użyciu reguł , aby zapoznać się z procedurami otwierania interfejsu reguł w programie Outlook.

3. Poszukaj reguł, których użytkownik nie utworzył, ani żadnych nieoczekiwanych reguł lub reguł o podejrzanych nazwach.

4. Poszukaj w opisie reguły akcji reguł, które uruchamiają się i aplikacji lub odwołują się do .EXE, .ZIP pliku lub uruchamiania adresu URL.

5. Poszukaj nowych procesów, które zaczynają korzystać z identyfikatora procesu programu Outlook. Zapoznaj się z tematem Znajdowanie identyfikatora procesu.

Kroki potwierdzania ataku Forms przy użyciu klienta programu Outlook

1. Otwórz użytkownika klienta programu Outlook jako użytkownika.

2. Wykonaj kroki opisane w temacie Pokaż kartę Deweloper dla wersji programu Outlook użytkownika.

3. Otwórz teraz widoczną kartę dewelopera w programie Outlook i wybierz pozycję Projektowanie formularza.

4. Wybierz skrzynkę odbiorczą z listy Wyszukaj w . Poszukaj dowolnych formularzy niestandardowych. Formularze niestandardowe są na tyle rzadkie, że jeśli w ogóle masz formularze niestandardowe, warto przyjrzeć się bardziej szczegółowo.

5. Zbadaj wszelkie formularze niestandardowe, zwłaszcza formularze oznaczone jako ukryte.

6. Otwórz dowolne formularze niestandardowe i w grupie Formularz wybierz pozycję Wyświetl kod , aby zobaczyć, co działa po załadowaniu formularza.

Kroki potwierdzania ataku reguł i Forms przy użyciu programu PowerShell

Najprostszym sposobem zweryfikowania ataku na reguły lub formularze niestandardowe jest uruchomienie skryptuGet-AllTenantRulesAndForms.ps1 programu PowerShell. Ten skrypt łączy się z każdą skrzynką pocztową w organizacji i zrzuca wszystkie reguły i formularze do dwóch plików .csv.

Wymagania wstępne

Musisz być członkiem roli administratora globalnego w Tożsamość Microsoft Entra lub w grupie ról Zarządzanie organizacją w Exchange Online, ponieważ skrypt łączy się z każdą skrzynką pocztową w organizacji, aby odczytywać reguły i formularze.

1. Użyj konta z uprawnieniami administratora lokalnego, aby zalogować się na komputerze, na którym zamierzasz uruchomić skrypt.

2. Pobierz lub skopiuj zawartość skryptu Get-AllTenantRulesAndForms.ps1 z usługi GitHub do folderu łatwego do znalezienia i uruchomienia skryptu. Skrypt tworzy dwa pliki ostemplowane datą w folderze: MailboxFormsExport-yyyy-MM-dd.csv i MailboxRulesExport-yyyy-MM-dd.csv.

   Usuń wiersze od 154 do 158 ze skryptu, ponieważ ta metoda połączenia nie działa już od lipca 2023 r.

3. Połącz się z usługą Exchange Online w programie PowerShell.

4. Przejdź w programie PowerShell do folderu, w którym zapisano skrypt, a następnie uruchom następujące polecenie:

   .\Get-AllTenantRulesAndForms.ps1
   

Interpretowanie danych wyjściowych

• MailboxRulesExport-yyyy-MM-dd.csv: Sprawdź reguły (jeden na wiersz) pod kątem warunków akcji, które obejmują aplikacje lub pliki wykonywalne:
  • ActionType (kolumna A): reguła jest prawdopodobnie złośliwa, jeśli ta kolumna zawiera wartość ID_ACTION_CUSTOM.
  • IsPotentiallyMalicious (kolumna D): reguła jest prawdopodobnie złośliwa, jeśli ta kolumna zawiera wartość TRUE.
  • ActionCommand (kolumna G): reguła jest prawdopodobnie złośliwa, jeśli ta kolumna zawiera dowolną z następujących wartości:
    • Aplikacja.
    • Plik .exe lub .zip.
    • Nieznany wpis, który odwołuje się do adresu URL.
• MailboxFormsExport-yyyy-MM-dd.csv: Ogólnie rzecz biorąc, użycie formularzy niestandardowych jest rzadkie. Jeśli znajdziesz dowolny element w tym skoroszycie, otwórz skrzynkę pocztową tego użytkownika i sprawdź sam formularz. Jeśli Twoja organizacja nie umieściła jej w tym miejscu celowo, prawdopodobnie jest złośliwa.

Jak zatrzymać i skorygować atak reguł programu Outlook i Forms

Jeśli znajdziesz jakiekolwiek dowody na jeden z tych ataków, korygowanie jest proste: wystarczy usunąć regułę lub formularz w skrzynce pocztowej. Regułę lub formularz można usunąć przy użyciu klienta programu Outlook lub programu Exchange PowerShell.

Korzystanie z programu Outlook

1. Zidentyfikuj wszystkie urządzenia, na których użytkownik korzystał z programu Outlook. Wszystkie muszą zostać oczyszczone z potencjalnego złośliwego oprogramowania. Nie zezwalaj użytkownikowi na logowanie się i używanie poczty e-mail, dopóki wszystkie urządzenia nie zostaną wyczyszczone.

2. Na każdym urządzeniu wykonaj kroki opisane w temacie Usuwanie reguły.

3. Jeśli nie masz pewności co do obecności innego złośliwego oprogramowania, możesz sformatować i ponownie zainstalować całe oprogramowanie na urządzeniu. W przypadku urządzeń przenośnych możesz wykonać kroki producentów, aby zresetować urządzenie do obrazu fabrycznego.

4. Zainstaluj najbardziej aktualne wersje programu Outlook. Pamiętaj, że bieżąca wersja programu Outlook domyślnie blokuje oba typy tego ataku.

5. Po usunięciu wszystkich kopii skrzynki pocztowej w trybie offline wykonaj następujące czynności:

   • Zresetuj hasło użytkownika przy użyciu wartości wysokiej jakości (długości i złożoności).
   • Jeśli uwierzytelnianie wieloskładnikowe (MFA) nie jest włączone dla użytkownika, wykonaj kroki opisane w temacie Konfigurowanie uwierzytelniania wieloskładnikowego dla użytkowników

   Te kroki zapewniają, że poświadczenia użytkownika nie są uwidaczniane za pomocą innych środków (na przykład wyłudzania informacji lub ponownego użycia hasła).

Korzystanie z programu PowerShell

Połącz się z wymaganym środowiskiem programu Exchange PowerShell:

• Skrzynki pocztowe na lokalnych serwerach programu Exchange: nawiązywanie połączenia z serwerami programu Exchange przy użyciu zdalnego programu PowerShell lub otwieranie powłoki zarządzania programu Exchange.

• Skrzynki pocztowe w Exchange Online: połącz się z Exchange Online programu PowerShell.

Po nawiązaniu połączenia z wymaganym środowiskiem programu Exchange PowerShell można wykonać następujące akcje dotyczące reguł skrzynki odbiorczej w skrzynkach pocztowych użytkowników:

• Wyświetl reguły skrzynki odbiorczej w skrzynce pocztowej:

  • Wyświetlanie listy podsumowań wszystkich reguł

    Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com
    

  • Wyświetl szczegółowe informacje dotyczące określonej reguły:

    Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name" | Format-List
    

  Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Get-InboxRule.

• Usuń reguły skrzynki odbiorczej ze skrzynki pocztowej:

  • Usuń określoną regułę:

    Remove-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name"
    

  • Usuń wszystkie reguły:

    Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com | Remove-InboxRule
    

  Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Remove-InboxRule.

• Wyłącz regułę skrzynki odbiorczej w celu dalszego zbadania:

  Disable-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name"
  

  Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Disable-InboxRule.

Jak zminimalizować przyszłe ataki

Po pierwsze: ochrona kont

Zasady i Forms luki w zabezpieczeniach są używane przez osobę atakującą tylko po kradzieży lub naruszeniu konta użytkownika. Pierwszym krokiem zapobiegania wykorzystywaniu tych luk w zabezpieczeniach w organizacji jest agresywna ochrona kont użytkowników. Niektóre z najbardziej typowych sposobów naruszenia kont to ataki polegające na wyłudzaniu informacji lub atakach z użyciem hasła.

Najlepszym sposobem ochrony kont użytkowników (zwłaszcza kont administratorów) jest skonfigurowanie uwierzytelniania wieloskładnikowego dla użytkowników. Należy również:

• Monitorowanie sposobu uzyskiwania dostępu do kont użytkowników i ich użycia. Nie możesz zapobiec początkowemu naruszeniu, ale możesz skrócić czas trwania i skutki naruszenia, wykrywając je wcześniej. Te zasady Office 365 Cloud App Security umożliwiają monitorowanie kont i powiadamianie o nietypowych działaniach:

  • Wiele nieudanych prób logowania: wyzwala alert, gdy użytkownicy wykonują wiele nieudanych działań logowania w jednej sesji w odniesieniu do wyuczonych punktów odniesienia, co może wskazywać na próbę naruszenia.

  • Niemożliwe podróże: wyzwala alert, gdy działania są wykrywane przez tego samego użytkownika w różnych lokalizacjach w okresie krótszym niż oczekiwany czas podróży między dwiema lokalizacjami. To działanie może wskazywać, że inny użytkownik używa tych samych poświadczeń. Wykrycie tego nietypowego zachowania wymaga początkowego okresu nauki wynoszącego siedem dni, aby poznać wzorzec działania nowego użytkownika.

  • Nietypowe działanie personifikowane (przez użytkownika): wyzwala alert, gdy użytkownicy wykonują wiele personifikowanych działań w jednej sesji w odniesieniu do nauczonych punktów odniesienia, co może wskazywać na próbę naruszenia.

• Użyj narzędzia, takiego jak Office 365 Secure Score, aby zarządzać konfiguracjami i zachowaniami zabezpieczeń konta.

Po drugie: Zachowaj aktualną kondycję klientów programu Outlook

W pełni zaktualizowane i poprawione wersje programu Outlook 2013 i 2016 domyślnie wyłączają akcję "Uruchom aplikację" /formularz. Nawet jeśli osoba atakująca naruszy konto, reguła i akcje formularza zostaną zablokowane. Najnowsze aktualizacje i poprawki zabezpieczeń można zainstalować, wykonując kroki opisane w temacie Instalowanie aktualizacji pakietu Office.

Oto wersje poprawek dla klientów programu Outlook 2013 i 2016:

• Outlook 2016: 16.0.4534.1001 lub nowsza.
• Outlook 2013: 15.0.4937.1000 lub nowszy.

Aby uzyskać więcej informacji na temat poszczególnych poprawek zabezpieczeń, zobacz:

• poprawka zabezpieczeń Outlook 2016
• Poprawka zabezpieczeń programu Outlook 2013

Po trzecie: Monitorowanie klientów programu Outlook

Nawet po zainstalowaniu poprawek i aktualizacji osoba atakująca może zmienić konfigurację komputera lokalnego w celu ponownego zainstalowania zachowania "Uruchom aplikację". Usługa Advanced zasady grupy Management umożliwia monitorowanie i wymuszanie zasad komputera lokalnego na urządzeniach klienckich.

Możesz sprawdzić, czy opcja "Uruchom aplikację" została ponownie włączona za pośrednictwem przesłonięcia w rejestrze, korzystając z informacji w temacie Jak wyświetlić rejestr systemowy przy użyciu 64-bitowych wersji systemu Windows. Sprawdź następujące podklucze:

• Outlook 2016:HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Security\
• Outlook 2013: HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Security\

Poszukaj klucza EnableUnsafeClientMailRules:

• Jeśli wartość to 1, poprawka zabezpieczeń programu Outlook została zastąpiona, a komputer jest narażony na atak formularzy/reguł.
• Jeśli wartość to 0, akcja "Uruchom aplikację" jest wyłączona.
• Jeśli klucz rejestru nie jest obecny i zainstalowano zaktualizowaną i poprawioną wersję programu Outlook, system nie jest narażony na te ataki.

Klienci z lokalnymi instalacjami programu Exchange powinni rozważyć zablokowanie starszych wersji programu Outlook, które nie mają dostępnych poprawek. Szczegółowe informacje na temat tego procesu można znaleźć w artykule Konfigurowanie blokowania klienta programu Outlook.

Zobacz też:

• Złośliwe reguły programu Outlook w usłudze SilentBreak Security Post dotyczące wektora reguł udostępniają szczegółowy przegląd reguł programu Outlook.
• Mapi przez HTTP i Mailrule Pwnage na blogu Sensepost o Mailrule Pwnage omawia narzędzie o nazwie Linijka, które pozwala wykorzystać skrzynki pocztowe za pośrednictwem reguł programu Outlook.
• Formularze i powłoki programu Outlook w blogu Sensepost o Forms Threat Vector.
• Linijka Codebase
• Wskaźniki linijki kompromisu