Identifiera och åtgärda Outlook-regler och anpassade Forms inmatningsattacker

• Gäller för:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.

Sammanfattning Lär dig hur du identifierar och åtgärdar Outlook-regler och anpassade Forms inmatningsattacker i Office 365.

Vad är Outlook-regler och anpassad Forms inmatningsattack?

När en angripare har fått åtkomst till din organisation försöker de etablera ett fotfäste för att stanna kvar eller komma in igen när de har identifierats. Den här aktiviteten kallas för att upprätta en beständighetsmekanism. Det finns två sätt som en angripare kan använda Outlook för att upprätta en beständighetsmekanism:

• Genom att utnyttja Outlook-regler.
• Genom att mata in anpassade formulär i Outlook.

Att installera om Outlook eller ens ge den berörda personen en ny dator hjälper inte. När den nya installationen av Outlook ansluter till postlådan synkroniseras alla regler och formulär från molnet. Reglerna eller formulären är vanligtvis utformade för att köra fjärrkod och installera skadlig kod på den lokala datorn. Den skadliga koden stjäl autentiseringsuppgifter eller utför annan olaglig aktivitet.

Den goda nyheten är: om du håller Outlook-klienterna uppdaterade till den senaste versionen är du inte sårbar för hotet eftersom aktuella Outlook-klientstandarder blockerar båda mekanismerna.

Attackerna följer vanligtvis dessa mönster:

Regelexploateringen:

1. Angriparen stjäl en användares autentiseringsuppgifter.
2. Angriparen loggar in på användarens Exchange-postlåda (Exchange Online eller lokal Exchange).
3. Angriparen skapar en inkorgsregel för vidarebefordran i postlådan. Vidarebefordringsregeln utlöses när postlådan tar emot ett specifikt meddelande från angriparen som matchar villkoren för regeln. Regelvillkoren och meddelandeformatet är skräddarsydda för varandra.
4. Angriparen skickar utlösarmeddelandet till den komprometterade postlådan, som fortfarande används som vanligt av den intet ont anande användaren.
5. När postlådan tar emot ett meddelande som matchar regelvillkoren tillämpas regelns åtgärd. Regelåtgärden är vanligtvis att starta ett program på en fjärrserver (WebDAV).
6. Vanligtvis installerar programmet skadlig kod på användarens dator (till exempel PowerShell Empire).
7. Den skadliga koden gör att angriparen kan stjäla (eller stjäla igen) användarens användarnamn och lösenord eller andra autentiseringsuppgifter från den lokala datorn och utföra andra skadliga aktiviteter.

Forms Exploit:

1. Angriparen stjäl en användares autentiseringsuppgifter.
2. Angriparen loggar in på användarens Exchange-postlåda (Exchange Online eller lokal Exchange).
3. Angriparen infogar en anpassad e-postformulärmall i användarens postlåda. Det anpassade formuläret utlöses när postlådan tar emot ett specifikt meddelande från angriparen som kräver att postlådan läser in det anpassade formuläret. Det anpassade formuläret och meddelandeformatet är skräddarsydda för varandra.
4. Angriparen skickar utlösarmeddelandet till den komprometterade postlådan, som fortfarande används som vanligt av den intet ont anande användaren.
5. När postlådan tar emot meddelandet läser postlådan in det formulär som krävs. Formuläret startar ett program på en fjärrserver (WebDAV).
6. Vanligtvis installerar programmet skadlig kod på användarens dator (till exempel PowerShell Empire).
7. Den skadliga koden gör att angriparen kan stjäla (eller stjäla igen) användarens användarnamn och lösenord eller andra autentiseringsuppgifter från den lokala datorn och utföra andra skadliga aktiviteter.

Hur kan en regel- och anpassad Forms inmatningsattack se ut Office 365?

Det är osannolikt att användarna märker dessa beständighetsmekanismer och de kan till och med vara osynliga för dem. I följande lista beskrivs de tecken (indikatorer på kompropromiss) som anger att reparationssteg krävs:

• Indikatorer för kompromissen av reglerna:

  • Regelåtgärden är att starta ett program.
  • Regeln refererar till en EXE, ZIP eller URL.
  • Leta efter nya processstarter som kommer från Outlook PID på den lokala datorn.

• Indikatorer för kompromissen för anpassade formulär:

  • Anpassade formulär finns sparade som en egen meddelandeklass.
  • Meddelandeklassen innehåller körbar kod.
  • Normalt lagras skadliga formulär i personliga Forms-bibliotek eller inkorgsmappar.
  • Formuläret heter IPM. Observera. [anpassat namn].

Steg för att hitta tecken på den här attacken och bekräfta den

Du kan använda någon av följande metoder för att bekräfta attacken:

• Granska reglerna och formulären manuellt för varje postlåda med hjälp av Outlook-klienten. Den här metoden är grundlig, men du kan bara kontrollera en postlåda i taget. Den här metoden kan vara mycket tidskrävande om du har många användare att kontrollera och även kan infektera den dator som du använder.

• Använd Get-AllTenantRulesAndForms.ps1 PowerShell-skriptet för att automatiskt dumpa alla regler för vidarebefordran av e-post och anpassade formulär för alla användare i din organisation. Den här metoden är den snabbaste och säkraste med minst omkostnader.

  Obs!

  Från och med januari 2021 är skriptet (och allt annat på lagringsplatsen) skrivskyddat och arkiverat. Raderna 154 till 158 försöker ansluta till Exchange Online PowerShell med hjälp av en metod som inte längre stöds på grund av utfasningen av fjärranslutna PowerShell-anslutningar i juli 2023. Ta bort raderna 154 till 158 och Anslut till Exchange Online PowerShell innan du kör skriptet.

Bekräfta regelattacken med Outlook-klienten

1. Öppna Outlook-klienten för användare som användare. Användaren kan behöva hjälp med att undersöka reglerna för sin postlåda.

2. Mer information om hur du öppnar regelgränssnittet i Outlook finns i Artikeln Hantera e-postmeddelanden med hjälp av regler .

3. Leta efter regler som användaren inte har skapat eller oväntade regler eller regler med misstänkta namn.

4. Titta i regelbeskrivningen efter regelåtgärder som startar och program eller refererar till en .EXE, .ZIP fil eller för att starta en URL.

5. Leta efter nya processer som börjar använda Outlook-process-ID:t. Se Hitta process-ID.

Steg för att bekräfta Forms attack med Outlook-klienten

1. Öppna Outlook-användarens klient som användare.

2. Följ stegen i Visa fliken Utvecklare för användarens version av Outlook.

3. Öppna den nu synliga utvecklarfliken i Outlook och välj utforma ett formulär.

4. Välj inkorgen i listan Look In (Titta i ). Leta efter anpassade formulär. Anpassade formulär är sällsynta nog att om du har några anpassade formulär alls är det värt en djupare titt.

5. Undersök eventuella anpassade formulär, särskilt formulär som markerats som dolda.

6. Öppna alla anpassade formulär och välj Visa kod i gruppen Formulär för att se vad som körs när formuläret läses in.

Steg för att bekräfta regler och Forms attack med PowerShell

Det enklaste sättet att verifiera en regel- eller anpassad formulärattack är att köra Get-AllTenantRulesAndForms.ps1 PowerShell-skript. Det här skriptet ansluter till varje postlåda i organisationen och dumpar alla regler och formulär i två .csv filer.

Förutsättningar

Du måste vara medlem i rollen Global administratör i Microsoft Entra ID eller rollgruppen Organisationshantering i Exchange Online, eftersom skriptet ansluter till alla postlådor i organisationen för att läsa regler och formulär.

1. Använd ett konto med lokal administratörsbehörighet för att logga in på den dator där du tänker köra skriptet.

2. Ladda ned eller kopiera innehållet i Get-AllTenantRulesAndForms.ps1 skriptet från GitHub till en mapp som är enkel att hitta och köra skriptet från. Skriptet skapar två datumstämplade filer i mappen: MailboxFormsExport-yyyy-MM-dd.csv och MailboxRulesExport-yyyy-MM-dd.csv.

   Ta bort raderna 154 till 158 från skriptet eftersom anslutningsmetoden inte längre fungerar från och med juli 2023.

3. Ansluta till Exchange Online PowerShell.

4. Navigera i PowerShell till mappen där du sparade skriptet och kör sedan följande kommando:

   .\Get-AllTenantRulesAndForms.ps1
   

Tolka utdata

• MailboxRulesExport-yyyy-MM-dd.csv: Granska reglerna (en per rad) för åtgärdsvillkor som innehåller program eller körbara filer:
  • ActionType (kolumn A): Regeln är troligen skadlig om den här kolumnen innehåller värdet ID_ACTION_CUSTOM.
  • IsPotentiallyMalicious (kolumn D): Regeln är troligen skadlig om den här kolumnen innehåller värdet TRUE.
  • ActionCommand (kolumn G): Regeln är troligen skadlig om den här kolumnen innehåller något av följande värden:
    • Ett program.
    • En .exe- eller .zip fil.
    • En okänd post som refererar till en URL.
• MailboxFormsExport-yyyy-MM-dd.csv: I allmänhet är användningen av anpassade formulär sällsynt. Om du hittar någon i den här arbetsboken öppnar du användarens postlåda och undersöker själva formuläret. Om din organisation inte har placerat den där avsiktligt är det troligtvis skadligt.

Stoppa och åtgärda Outlook-regler och Forms attack

Om du hittar några bevis för någon av dessa attacker är reparationen enkel: ta bara bort regeln eller formuläret i postlådan. Du kan ta bort regeln eller formuläret med Outlook-klienten eller med Exchange PowerShell.

Använda Outlook

1. Identifiera alla enheter där användaren har använt Outlook. De måste alla rensas från potentiell skadlig kod. Tillåt inte att användaren loggar in och använder e-post förrän alla enheter har rensats.

2. Följ stegen i Ta bort en regel på varje enhet.

3. Om du är osäker på förekomsten av annan skadlig kod kan du formatera och installera om all programvara på enheten. För mobila enheter kan du följa tillverkarens steg för att återställa enheten till fabriksbilden.

4. Installera de senaste versionerna av Outlook. Kom ihåg att den aktuella versionen av Outlook blockerar båda typerna av den här attacken som standard.

5. Gör följande när alla offlinekopior av postlådan har tagits bort:

   • Återställ användarens lösenord med ett värde av hög kvalitet (längd och komplexitet).
   • Om multifaktorautentisering (MFA) inte är aktiverat för användaren följer du stegen i Konfigurera multifaktorautentisering för användare

   De här stegen säkerställer att användarens autentiseringsuppgifter inte exponeras på annat sätt (till exempel återanvändning av nätfiske eller lösenord).

Använda PowerShell

Anslut till den Nödvändiga Exchange PowerShell-miljön:

• Postlådor på lokala Exchange-servrar: Anslut till Exchange-servrar med hjälp av fjärr-PowerShell eller Öppna Exchange Management Shell.

• Postlådor i Exchange Online: Anslut till Exchange Online PowerShell.

När du har anslutit till den Nödvändiga Exchange PowerShell-miljön kan du vidta följande åtgärder för Inkorgsregler i användarpostlådor:

• Visa inkorgsregler i en postlåda:

  • Visa en sammanfattningslista över alla regler

    Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com
    

  • Visa detaljerad information för en specifik regel:

    Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name" | Format-List
    

  Detaljerad information om syntax och parametrar finns i Get-InboxRule.

• Ta bort inkorgsregler från en postlåda:

  • Ta bort en specifik regel:

    Remove-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name"
    

  • Ta bort alla regler:

    Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com | Remove-InboxRule
    

  Detaljerad information om syntax och parametrar finns i Remove-InboxRule.

• Inaktivera en inkorgsregel för vidare undersökning:

  Disable-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name"
  

  Detaljerad information om syntax och parametrar finns i Disable-InboxRule.

Så här minimerar du framtida attacker

Först: skydda konton

Regler och Forms kryphål används bara av en angripare när de har stulit eller brutit mot en användares konto. Därför är ditt första steg för att förhindra användningen av dessa kryphål mot din organisation att skydda användarkonton aggressivt. Några av de vanligaste sätten som konton överträds på är nätfiske- eller lösenordsattacker.

Det bästa sättet att skydda användarkonton (särskilt administratörskonton) är att konfigurera MFA för användare. Du bör också:

• Övervaka hur användarkonton används och används. Du kanske inte förhindrar det första intrånget, men du kan förkorta varaktigheten och effekterna av överträdelsen genom att upptäcka den tidigare. Du kan använda dessa Office 365 Cloud App Security principer för att övervaka konton och varna dig för ovanlig aktivitet:

  • Flera misslyckade inloggningsförsök: Utlöser en avisering när användare utför flera misslyckade inloggningsaktiviteter i en enda session med avseende på den inlärda baslinjen, vilket kan tyda på ett intrångsförsök.

  • Omöjlig resa: Utlöser en avisering när aktiviteter identifieras från samma användare på olika platser inom en tidsperiod som är kortare än den förväntade restiden mellan de två platserna. Den här aktiviteten kan tyda på att en annan användare använder samma autentiseringsuppgifter. Identifiering av det här avvikande beteendet kräver en inledande inlärningsperiod på sju dagar för att lära sig en ny användares aktivitetsmönster.

  • Ovanlig personifierad aktivitet (efter användare): Utlöser en avisering när användare utför flera personifierade aktiviteter i en enda session med avseende på den inlärda baslinjen, vilket kan tyda på ett intrångsförsök.

• Använd ett verktyg som Office 365 Secure Score för att hantera kontosäkerhetskonfigurationer och -beteenden.

För det andra: Håll Outlook-klienterna aktuella

Fullständigt uppdaterade och korrigerade versioner av Outlook 2013 och 2016 inaktiverar regeln/formuläråtgärden "Starta program" som standard. Även om en angripare bryter mot kontot blockeras regeln och formuläråtgärderna. Du kan installera de senaste uppdateringarna och säkerhetskorrigeringarna genom att följa stegen i Installera Office-uppdateringar.

Här är korrigeringsversionerna för Outlook 2013- och 2016-klienter:

• Outlook 2016: 16.0.4534.1001 eller senare.
• Outlook 2013: 15.0.4937.1000 eller senare.

Mer information om de enskilda säkerhetskorrigeringarna finns i:

• Outlook 2016 säkerhetskorrigering
• Säkerhetskorrigering för Outlook 2013

Tredje: Övervaka Outlook-klienter

Även om korrigeringarna och uppdateringarna är installerade är det möjligt för en angripare att ändra den lokala datorkonfigurationen så att beteendet "Starta program" kan ändras. Du kan använda Advanced grupprincip Management för att övervaka och framtvinga lokala datorprinciper på klientenheter.

Du kan se om "Starta program" har återaktiverats via en åsidosättning i registret med hjälp av informationen i Så här visar du systemregistret med hjälp av 64-bitarsversioner av Windows. Kontrollera följande undernycklar:

• Outlook 2016:HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Security\
• Outlook 2013: HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Security\

Leta efter nyckeln EnableUnsafeClientMailRules:

• Om värdet är 1 har Outlook-säkerhetskorrigeringen åsidosatts och datorn är sårbar för form-/regelattacken.
• Om värdet är 0 inaktiveras åtgärden "Starta program".
• Om registernyckeln inte finns och den uppdaterade och uppdaterade versionen av Outlook är installerad är systemet inte sårbart för dessa attacker.

Kunder med lokala Exchange-installationer bör överväga att blockera äldre versioner av Outlook som inte har korrigeringar tillgängliga. Information om den här processen finns i artikeln Konfigurera Blockering av Outlook-klient.

Se även:

• Skadliga Outlook-regler från SilentBreak Security Post om Regelvektor ger en detaljerad genomgång av hur Outlook-reglerna.
• MAPI via HTTP och Mailrule Pwnage på Sensepost-bloggen om Mailrule Pwnage diskuterar ett verktyg med namnet Linjal som gör att du kan utnyttja postlådor via Outlook-regler.
• Outlook-formulär och -gränssnitt på Sensepost-bloggen om Forms Threat Vector.
• Linjalkodbas
• Linjalindikatorer för kompromiss