Détecter et corriger les Outlook et les attaques par injection de formulaires personnalisésDetect and Remediate Outlook Rules and Custom Forms Injections Attacks

Important

Le Centre de sécurité Microsoft 365 est à présent disponible.The improved Microsoft 365 security center is now available. Cette nouvelle expérience introduit Defender pour point de terminaison, Defender pour Office 365, Microsoft 365 Defender et bien plus encore dans le Centre de sécurité Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Découvrir les nouveautés.Learn what's new.

Résumé Découvrez comment reconnaître et corriger les règles de Outlook et les attaques par injections de formulaires personnalisées dans Office 365.Summary Learn how to recognize and remediate the Outlook rules and custom Forms injections attacks in Office 365.

Qu’est-ce que l Outlook d’injection de formulaires personnalisés et de règles de sécurité ?What is the Outlook Rules and Custom Forms injection attack?

Une fois qu’un attaquant a accédé à votre organisation, il essaiera d’établir un point d’accès pour rester dans votre organisation ou y revenir une fois qu’il a été détecté.After an attacker gains access to your organization, they'll try to establish a foothold to stay in or get back in after they've been discovered. Cette activité est appelée établissement d’un mécanisme de persistance.This activity is called establishing a persistence mechanism. Une personne malveillante peut utiliser deux méthodes Outlook pour établir un mécanisme de persistance :There are two ways that an attacker can use Outlook to establish a persistence mechanism:

  • En exploitant Outlook règles.By exploiting Outlook rules.
  • En injectant des formulaires personnalisés dans Outlook.By injecting custom forms into Outlook.

Réinstaller Outlook, ou même donner à la personne concernée un nouvel ordinateur ne vous aidera pas.Reinstalling Outlook, or even giving the affected person a new computer won't help. Lorsque la nouvelle installation de Outlook se connecte à la boîte aux lettres, toutes les règles et tous les formulaires sont synchronisés à partir du cloud.When the fresh installation of Outlook connects to the mailbox, all rules and forms are synchronized from the cloud. Les règles ou les formulaires sont généralement conçus pour exécuter du code à distance et installer des programmes malveillants sur l’ordinateur local.The rules or forms are typically designed to run remote code and install malware on the local machine. Le programme malveillant volera les informations d’identification ou effectuera d’autres activités illicites.The malware steals credentials or performs other illicit activity.

La bonne nouvelle est que si vous conservez vos clients Outlook corrigés sur la dernière version, vous n’êtes pas vulnérable à la menace, car les valeurs par défaut du client Outlook bloquent les deux mécanismes.The good news is: if you keep your Outlook clients patched to the latest version, you aren't vulnerable to the threat as current Outlook client defaults block both mechanisms.

Les attaques suivent généralement les modèles ci-après :The attacks typically follow these patterns:

L’exploit des règles:The Rules Exploit:

  1. L’attaquant volera les informations d’identification d’un utilisateur.The attacker steals a user's credentials.

  2. L’attaquant se permet de se Exchange boîte aux lettres de l’utilisateur (Exchange Online ou en local Exchange).The attacker signs in to that user's Exchange mailbox (Exchange Online or on-premises Exchange).

  3. L’attaquant crée une règle de boîte de réception de forwarding dans la boîte aux lettres.The attacker creates a forwarding Inbox rule in the mailbox. La règle de forwarding est déclenchée lorsque la boîte aux lettres reçoit un message spécifique de l’attaquant qui correspond aux conditions de la règle.The forwarding rule is triggered when the mailbox receives a specific message from the attacker that matches the conditions of the rule. Les conditions de règle et le format des messages sont personnalisés les uns pour les autres.The rule conditions and message format are tailor-made for each other.

  4. L’attaquant envoie le message électronique de déclencheur à la boîte aux lettres compromise, qui est toujours utilisée normalement par l’utilisateur qui ne s’en doute pas.The attacker sends the trigger email to the compromised mailbox, which is still being used as normal by the unsuspecting user.

  5. Lorsque la boîte aux lettres reçoit un message qui correspond aux conditions de règle, l’action de la règle est appliquée.When the mailbox receives a message that matches the conditions of rule, the action of the rule is applied. En règle générale, l’action de la règle consiste à lancer une application sur un serveur distant (WebDAV).Typically, the rule action is to launch an application on a remote (WebDAV) server.

  6. En règle générale, l’application installe un programme malveillant sur l’ordinateur de l’utilisateur (par exemple, PowerShell Dernier).Typically, the application installs malware on the user's machine (for example, PowerShell Empire).

  7. Le programme malveillant permet à l’attaquant de voler (ou de voler à nouveau) le nom d’utilisateur et le mot de passe de l’utilisateur ou d’autres informations d’identification de l’ordinateur local et d’effectuer d’autres activités malveillantes.The malware allows the attacker to steal (or steal again) the user's username and password or other credentials from local machine and perform other malicious activities.

L’exploit de formulaires:The Forms Exploit:

  1. L’attaquant volera les informations d’identification d’un utilisateur.The attacker steals a user's credentials.

  2. L’attaquant se permet de se Exchange boîte aux lettres de l’utilisateur (Exchange Online ou en local Exchange).The attacker signs in to that user's Exchange mailbox (Exchange Online or on-premises Exchange).

  3. L’attaquant insère un modèle de formulaire de courrier personnalisé dans la boîte aux lettres de l’utilisateur.The attacker inserts a custom mail form template into the user's mailbox. Le formulaire personnalisé est déclenché lorsque la boîte aux lettres reçoit un message spécifique de l’attaquant qui exige que la boîte aux lettres charge le formulaire personnalisé.The custom form is triggered when the mailbox receives a specific message from the attacker that requires the mailbox to load the custom form. Le formulaire personnalisé et le format de message sont personnalisés les uns pour les autres.The custom form and the message format are tailor-made for each other.

  4. L’attaquant envoie le message électronique de déclencheur à la boîte aux lettres compromise, qui est toujours utilisée normalement par l’utilisateur qui ne s’en doute pas.The attacker sends the trigger email to the compromised mailbox, which is still being used as normal by the unsuspecting user.

  5. Lorsque la boîte aux lettres reçoit le message, elle charge le formulaire requis.When the mailbox receives the message, the mailbox loads the required form. Le formulaire lance une application sur un serveur distant (WebDAV).The form launches an application on a remote (WebDAV) server.

  6. En règle générale, l’application installe un programme malveillant sur l’ordinateur de l’utilisateur (par exemple, PowerShell Dernier).Typically, the application installs malware on the user's machine (for example, PowerShell Empire).

  7. Le programme malveillant permet à l’attaquant de voler (ou de voler à nouveau) le nom d’utilisateur et le mot de passe de l’utilisateur ou d’autres informations d’identification de l’ordinateur local et d’effectuer d’autres activités malveillantes.The malware allows the attacker to steal (or steal again) the user's username and password or other credentials from local machine and perform other malicious activities.

À quoi pourrait ressembler une attaque par injection de règles et de formulaires personnalisés Office 365 ?What a Rules and Custom Forms Injection attack might look like Office 365?

Ces mécanismes de persistance sont peu susceptibles d’être remarqués par vos utilisateurs et peuvent même, dans certains cas, leur être invisibles.These persistence mechanisms are unlikely to be noticed by your users and may in some cases even be invisible to them. Cet article vous indique comment rechercher l’un des sept signes (Indicateurs de compromis) répertoriés ci-dessous.This article tells you how to look for any of the seven signs (Indicators of Compromise) listed below. Si vous trouvez l’un de ces éléments, vous devez prendre des mesures correctives.If you find any of these, you need to take remediation steps.

  • Indicateurs de compromission des règles:Indicators of the Rules compromise:

    • L’action de la règle consiste à démarrer une application.Rule Action is to start an application.
    • La règle fait référence à un FICHIER EXE, ZIP ou URL.Rule References an EXE, ZIP, or URL.
    • Sur l’ordinateur local, recherchez les nouveaux démarrages de processus qui proviennent du piD Outlook’ordinateur local.On the local machine, look for new process starts that originate from the Outlook PID.
  • Indicateurs de compromission des formulaires personnalisés:Indicators of the Custom forms compromise:

    • Les formulaires personnalisés présents sont enregistrés en tant que classe de message.Custom forms present saved as their own message class.
    • La classe de message contient du code exécutable.Message class contains executable code.
    • En règle générale, les formulaires malveillants sont stockés dans des dossiers de la bibliothèque de formulaires personnels ou de la boîte de réception.Typically, malicious forms are stored in Personal Forms Library or Inbox folders.
    • Le formulaire est nommé IPM. Remarque. [nom personnalisé].Form is named IPM.Note.[custom name].

Étapes de recherche et de confirmation de cette attaqueSteps for finding signs of this attack and confirming it

Vous pouvez utiliser l’une des méthodes suivantes pour confirmer l’attaque :You can use either of the following methods to confirm the attack:

  • Examinez manuellement les règles et les formulaires de chaque boîte aux lettres à l’aide Outlook client.Manually examine the rules and forms for each mailbox using the Outlook client. Cette méthode est minutieuse, mais vous ne pouvez vérifier qu’une seule boîte aux lettres à la fois.This method is thorough, but you can only check one mailbox at a time. Cette méthode peut prendre beaucoup de temps si vous avez de nombreux utilisateurs à vérifier et peut également infecter l’ordinateur que vous utilisez.This method can be very time consuming if you have many users to check, and might also infect the computer that you're using.

  • Utilisez le script Get-AllTenantRulesAndForms.ps1 PowerShell pour vider automatiquement toutes les règles de forwarding de courrier et les formulaires personnalisés pour tous les utilisateurs de votre location.Use the Get-AllTenantRulesAndForms.ps1 PowerShell script to automatically dump all the mail forwarding rules and custom forms for all the users in your tenancy. Il s’agit de la méthode la plus rapide et la plus sûre avec la charge de traitement la moins importante.This is the fastest and safest method with the least amount of overhead.

Confirmer l’attaque par règles à l’aide Outlook clientConfirm the Rules Attack Using the Outlook client

  1. Ouvrez les utilisateurs Outlook client en tant qu’utilisateur.Open the users Outlook client as the user. L’utilisateur peut avoir besoin de votre aide pour examiner les règles de sa boîte aux lettres.The user may need your help in examining the rules on their mailbox.

  2. Reportez-vous à l’article Gérer les messages électroniques à l’aide de l’article règles pour les procédures d’ouverture de l’interface de règles dans Outlook.Refer to Manage email messages by using rules article for the procedures on how to open the rules interface in Outlook.

  3. Recherchez les règles que l’utilisateur n’a pas créés, ou les règles ou règles inattendues avec des noms suspects.Look for rules that the user did not create, or any unexpected rules or rules with suspicious names.

  4. Dans la description de la règle, recherchez les actions de règle qui démarrent et s’applicationnt ou qui font référence à un fichier .EXE, .ZIP ou au lancement d’une URL.Look in the rule description for rule actions that start and application or refer to an .EXE, .ZIP file or to launching a URL.

  5. Recherchez les nouveaux processus qui commencent à utiliser l’ID Outlook processus.Look for any new processes that start using the Outlook process ID. Reportez-vous à Rechercher l’ID de processus.Refer to Find the Process ID.

Étapes de confirmation de l’attaque par formulaires à l’aide Outlook clientSteps to confirm the Forms attack using the Outlook client

  1. Ouvrez le client Outlook utilisateur en tant qu’utilisateur.Open the user Outlook client as the user.

  2. Suivez les étapes de la procédure , Afficher l’onglet Développeur pour la version d’Outlook.Follow the steps in, Show the Developer tab for the user's version of Outlook.

  3. Ouvrez l’onglet développeur désormais visible dans Outlook puis cliquez sur Concevoir un formulaire.Open the now visible developer tab in Outlook and click design a form.

  4. Sélectionnez la boîte de réception dans la liste Rechercher dans.Select the Inbox from the Look In list. Recherchez les formulaires personnalisés.Look for any custom forms. Les formulaires personnalisés sont suffisamment rares pour que si vous avez des formulaires personnalisés, cela vaut la peine d’avoir une apparence plus approfondie.Custom forms are rare enough that if you have any custom forms at all, it is worth a deeper look.

  5. Examinez tous les formulaires personnalisés, en particulier ceux marqués comme masqués.Investigate any custom forms, especially those marked as hidden.

  6. Ouvrez tous les formulaires personnalisés et, dans le groupe Formulaire, cliquez sur Afficher le code pour voir ce qui s’exécute lorsque le formulaire est chargé.Open any custom forms and in the Form group click View Code to see what runs when the form is loaded.

Étapes de confirmation de l’attaque par règles et formulaires à l’aide de PowerShellSteps to confirm the Rules and Forms attack using PowerShell

Le moyen le plus simple de vérifier une attaque par des règles ou des formulaires personnalisés consiste à exécuter Get-AllTenantRulesAndForms.ps1 script PowerShell.The simplest way to verify a rules or custom forms attack is to run the Get-AllTenantRulesAndForms.ps1 PowerShell script. Ce script se connecte à chaque boîte aux lettres de votre client et vide toutes les règles et formulaires dans deux .csv.This script connects to every mailbox in your tenant and dumps all the rules and forms into two .csv files.

Conditions préalablesPre-requisites

Vous devez avoir des droits d’administrateur général pour exécuter le script, car il se connecte à chaque boîte aux lettres de la location pour lire les règles et les formulaires.You will need to have global administrator rights to run the script because the script connects to every mailbox in the tenancy to read the rules and forms.

  1. Connectez-vous à l’ordinateur à partir de qui vous exécuterez le script avec des droits d’administrateur local.Sign in to the machine that you will run the script from with local administrator rights.

  2. Téléchargez ou copiez Get-AllTenantRulesAndForms.ps1 script de GitHub vers un dossier à partir duquel vous l’exécuterez.Download or copy the Get-AllTenantRulesAndForms.ps1 script from GitHub to a folder from which you will run it. Le script crée deux fichiers horodatés dans ce dossier, MailboxFormsExport-yyyy-mm-dd.csv et MailboxRulesExport-yyyy-mm-dd.csv.The script will create two date stamped files to this folder, MailboxFormsExport-yyyy-mm-dd.csv, and MailboxRulesExport-yyyy-mm-dd.csv.

  3. Ouvrez une instance PowerShell en tant qu’administrateur et ouvrez le dossier dans qui vous avez enregistré le script.Open a PowerShell instance as an administrator and open the folder you saved the script to.

  4. Exécutez cette ligne de commande PowerShell comme .\Get-AllTenantRulesAndForms.ps1 suit.\Get-AllTenantRulesAndForms.ps1Run this PowerShell command line as follows .\Get-AllTenantRulesAndForms.ps1.\Get-AllTenantRulesAndForms.ps1

Interprétation de la sortieInterpreting the output

  • MailboxRulesExport-yyyy-mm-dd.csv: examinez les règles (une par ligne) pour les conditions d’action qui incluent des applications ou des exécutables :MailboxRulesExport-yyyy-mm-dd.csv: Examine the rules (one per row) for action conditions that include applications or executables:

    • ActionType (colonne A): si vous voyez la valeur « ID_ACTION_CUSTOM », la règle est probablement malveillante.ActionType (column A): If you see the value "ID_ACTION_CUSTOM", the rule is likely malicious.

    • IsPotentiallyMalicious (colonne D): si cette valeur est « TRUE », la règle est probablement malveillante.IsPotentiallyMalicious (column D): If this value is "TRUE", the rule is likely malicious.

    • ActionCommand (colonne G): si cette colonne répertorie une application ou un fichier avec des extensions .exe ou .zip, ou une entrée inconnue qui fait référence à une URL, la règle est probablement malveillante.ActionCommand (column G): If this column lists an application or any file with .exe or .zip extensions, or an unknown entry that refers to a URL, the rule is likely malicious.

  • MailboxFormsExport-yyyy-mm-dd.csv: en règle générale, l’utilisation de formulaires personnalisés est rare.MailboxFormsExport-yyyy-mm-dd.csv: In general, the use of custom forms is rare. Si vous en trouvez dans ce workbook, vous ouvrez la boîte aux lettres de cet utilisateur et examinez le formulaire lui-même.If you find any in this workbook, you open that user's mailbox and examine the form itself. Si votre organisation ne l’a pas placé intentionnellement, il est probablement malveillant.If your organization did not put it there intentionally, it is likely malicious.

Comment arrêter et corriger l’attaque Outlook règles et formulairesHow to stop and remediate the Outlook Rules and Forms attack

Si vous trouvez des preuves de l’une de ces attaques, la correction est simple, supprimez simplement la règle ou le formulaire de la boîte aux lettres.If you find any evidence of either of these attacks, remediation is simple, just delete the rule or form from the mailbox. Vous pouvez le faire avec le client Outlook ou à l’aide de PowerShell à distance pour supprimer des règles.You can do this with the Outlook client or using remote PowerShell to remove rules.

Utilisation de OutlookUsing Outlook

  1. Identifiez tous les appareils que l’utilisateur a utilisés avec Outlook.Identify all the devices that the user has used with Outlook. Ils devront tous être nettoyés des programmes malveillants potentiels.They will all need to be cleaned of potential malware. N’autorisez pas l’utilisateur à se connecter et à utiliser le courrier tant que tous les appareils n’ont pas été nettoyés.Do not allow the user to sign on and use email until all the devices are cleaned.

  2. Suivez les étapes de la procédure de suppression d’une règle pour chaque appareil.Follow the steps in Delete a rule for each device.

  3. Si vous n’êtes pas sûr de la présence d’autres programmes malveillants, vous pouvez formater et réinstaller tous les logiciels sur l’appareil.If you are unsure about the presence of other malware, you can format and reinstall all the software on the device. Pour les appareils mobiles, vous pouvez suivre les étapes des fabricants pour réinitialiser l’appareil à l’image d’usine.For mobile devices, you can follow the manufacturers steps to reset the device to the factory image.

  4. Installez les versions les plus récentes de Outlook.Install the most up-to-date versions of Outlook. N’oubliez pas que la version actuelle Outlook bloque les deux types d’attaque par défaut.Remember that the current version of Outlook blocks both types of this attack by default.

  5. Une fois toutes les copies hors connexion de la boîte aux lettres supprimées, réinitialisez le mot de passe de l’utilisateur (utilisez une copie de haute qualité) et suivez les étapes de l’authentification multifacteur du programme d’installation pour les utilisateurs si l’authentification multifacteur n’a pas encore été activée.Once all offline copies of the mailbox have been removed, reset the user's password (use a high quality one) and follow the steps in Setup multi-factor authentication for users if MFA has not already been enabled. Cela garantit que les informations d’identification de l’utilisateur ne sont pas exposées par d’autres moyens (par exemple, hameçonnage ou nouvelle utilisation du mot de passe).This ensures that the user's credentials are not exposed via other means (such as phishing or password re-use).

Utiliser PowerShellUsing PowerShell

Il existe deux cmdlets PowerShell distantes que vous pouvez utiliser pour supprimer ou désactiver des règles dangereuses.There are two remote PowerShell cmdlets you can use to remove or disable dangerous rules. Suivez simplement les étapes.Just follow the steps.

Étapes pour les boîtes aux lettres qui se sont sur un Exchange serveurSteps for mailboxes that are on an Exchange server

  1. Connecter au serveur Exchange à l’aide de PowerShell distant.Connect to the Exchange server using remote PowerShell. Suivez les étapes de la Connecter pour Exchange à l’aide de PowerShell à distance.Follow the steps in Connect to Exchange servers using remote PowerShell.

  2. Si vous souhaitez supprimer complètement une règle unique, plusieurs règles ou toutes les règles d’une boîte aux lettres, utilisez la cmdlet Remove-InboxRule.If you want to completely remove a single rule, multiple rules, or all rules from a mailbox use the Remove-InboxRule cmdlet.

  3. Si vous souhaitez conserver la règle et son contenu pour un examen plus approfondie, utilisez la cmdlet Disable-InboxRule.If you want to retain the rule and its contents for further investigation use the Disable-InboxRule cmdlet.

Étapes pour les boîtes aux lettres dans Exchange OnlineSteps for mailboxes in Exchange Online

  1. Suivez les étapes de la Connecter pour Exchange Online à l’aide de PowerShell.Follow the steps in Connect to Exchange Online using PowerShell.

  2. Si vous souhaitez supprimer complètement une règle unique, plusieurs règles ou toutes les règles d’une boîte aux lettres, utilisez la cmdlet Remove-Inbox Rule.If you want to completely remove a single rule, multiple rules, or all rules from a mailbox use the Remove-Inbox Rule cmdlet.

  3. Si vous souhaitez conserver la règle et son contenu pour un examen plus approfondie, utilisez la cmdlet Disable-InboxRule.If you want to retain the rule and its contents for further investigation use the Disable-InboxRule cmdlet.

Comment réduire les attaques futuresHow to minimize future attacks

Tout d’abord : protéger vos comptesFirst: protect your accounts

Les attaques par règles et formulaires sont utilisées uniquement par un attaquant après le vol ou la violation de l’un des comptes de votre utilisateur.The Rules and Forms exploits are only used by an attacker after they have stolen or breached one of your user's accounts. Par conséquent, la première étape pour empêcher l’utilisation de ces attaques contre votre organisation consiste à protéger de manière agressive vos comptes d’utilisateurs.So, your first step to preventing the use of these exploits against your organization is to aggressively protect your user accounts. Certaines des façons les plus courantes d’enfreiner les comptes sont par le biais d’attaques par hameçonnage ou par pulvérisation de mots de passe.Some of the most common ways that accounts are breached are through phishing or password spray attacks.

La meilleure façon de protéger vos comptes d’utilisateur, et en particulier vos comptes d’administrateur, consiste à configurer l’authentification multifacteur pour les utilisateurs.The best way to protect your user accounts, and especially your administrator accounts, is to set up multi-factor authentication for users. Vous devez également :You should also:

  • Surveillez l’accès et l’utilisation de vos comptes d’utilisateur.Monitor how your user accounts are accessed and used. Vous n’empêcherez peut-être pas la violation initiale, mais vous raccourcirez la durée et l’impact de la violation en la détectant plus rapidement.You may not prevent the initial breach, but you will shorten the duration and the impact of the breach by detecting it sooner. Vous pouvez utiliser ces stratégies Sécurité des applications cloud Office 365 pour surveiller vos comptes et alerter sur les activités inhabituelles :You can use these Office 365 Cloud App Security policies to monitor you accounts and alert on unusual activity:

    • Plusieurs tentatives de connexion ayant échoué : cette stratégie profile votre environnement et déclenche des alertes lorsque les utilisateurs effectuent plusieurs activités de connexion ayant échoué en une seule session par rapport à la ligne de base acquise, ce qui peut indiquer une tentative de violation.Multiple failed login attempts: This policy profiles your environment and triggers alerts when users perform multiple failed login activities in a single session with respect to the learned baseline, which could indicate an attempted breach.

    • Voyage impossible: cette stratégie profile votre environnement et déclenche des alertes lorsque des activités sont détectées par le même utilisateur à différents emplacements dans une période plus courte que le temps de déplacement prévu entre les deux emplacements.Impossible travel: This policy profiles your environment and triggers alerts when activities are detected from the same user in different locations within a time period that is shorter than the expected travel time between the two locations. Cela peut indiquer qu’un autre utilisateur utilise les mêmes informations d’identification.This could indicate that a different user is using the same credentials. La détection de ce comportement anormal nécessite une période d’apprentissage initiale de sept jours au cours de laquelle elle apprend le modèle d’activité d’un nouvel utilisateur.Detecting this anomalous behavior necessitates an initial learning period of seven days during which it learns a new user's activity pattern.

    • Activité d’emprunt d’identité inhabituelle (par utilisateur): cette stratégie profile votre environnement et déclenche des alertes lorsque les utilisateurs effectuent plusieurs activités usurpées d’identité dans une seule session par rapport à la ligne de base acquise, ce qui peut indiquer une tentative de violation.Unusual impersonated activity (by user): This policy profiles your environment and triggers alerts when users perform multiple impersonated activities in a single session with respect to the baseline learned, which could indicate an attempted breach.

  • Utilisez un outil tel que Office 365 Secure Score pour gérer les configurations et comportements de sécurité des comptes.Use a tool like Office 365 Secure Score to manage account security configurations and behaviors.

Deuxième : maintenez vos clients Outlook jourSecond: Keep your Outlook clients current

Les versions entièrement mises à jour et mises à jour de Outlook 2013 et 2016 désactivent l’action de formulaire/règle « Démarrer l’application » par défaut.Fully updated and patched versions of Outlook 2013, and 2016 disable the "Start Application" rule/form action by default. Cela garantit que même si un attaquant enfreint le compte, les actions de règle et de formulaire seront bloquées.This will ensure that even if an attacker breaches the account, the rule and form actions will be blocked. Vous pouvez installer les dernières mises à jour et correctifs de sécurité en suivant les étapes de l’Office mises à jour.You can install the latest updates and security patches by following the steps in Install Office updates.

Voici les versions des correctifs pour Outlook clients 2013 et 2016 :Here are the patch versions for your Outlook 2013 and 2016 clients:

  • Outlook 2016: 16.0.4534.1001 ou supérieur.Outlook 2016: 16.0.4534.1001 or greater.

  • Outlook 2013: 15.0.4937.1000 ou supérieur.Outlook 2013: 15.0.4937.1000 or greater.

Pour plus d’informations sur les correctifs de sécurité individuels, voir :For more information on the individual security patches, see:

Troisième : surveiller vos clients Outlook clientThird: Monitor your Outlook clients

Notez que même avec les correctifs et mises à jour installés, il est possible pour un attaquant de modifier la configuration de l’ordinateur local afin de ré-activer le comportement « Démarrer l’application ».Note that even with the patches and updates installed, it is possible for an attacker to change the local machine configuration to re-enable the "Start Application" behavior. Vous pouvez utiliser la gestion avancée des stratégies de groupe pour surveiller et appliquer des stratégies d’ordinateur local sur vos clients.You can use Advanced Group Policy Management to monitor and enforce local machine policies on your clients.

Vous pouvez voir si « Démarrer l’application » a été ré-activé via une substitution dans le Registre à l’aide des informations de la procédure d’affichage du Registre système à l’aide de versions 64 bitsde Windows .You can see if "Start Application" has been re-enabled through an override in the registry by using the information in How to view the system registry by using 64-bit versions of Windows. Vérifiez les sous-clés ci-après :Check these subkeys:

  • Outlook 2016:HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Security\Outlook 2016: HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Security\

  • Outlook 2013:HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Security\Outlook 2013: HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Security\

Recherchez la clé EnableUnsafeClientMailRules.Look for the key EnableUnsafeClientMailRules. S’il est là et est définie sur 1, le correctif de sécurité Outlook a été bas de ligne de compte et l’ordinateur est vulnérable à l’attaque par formulaire/règles.If it is there and is set to 1, the Outlook security patch has been overridden and the computer is vulnerable to the Form/Rules attack. Si la valeur est 0, l’action « Démarrer l’application » est désactivée.If the value is 0, the "Start Application" action is disabled. Si la version mise à jour et corrigé de Outlook est installée et que cette clé de Registre n’est pas présente, un système n’est pas vulnérable à ces attaques.If the updated and patched version of Outlook is installed and this registry key is not present, then a system is not vulnerable to these attacks.

Les clients qui disposent d’installations Exchange sur site doivent envisager de bloquer les versions antérieures de Outlook qui ne disposent pas de correctifs.Customers with on-premises Exchange installations should consider blocking older versions of Outlook that do not have patches available. Pour plus d’informations sur ce processus, voir l’article Configure Outlook client blocking.Details on this process can be found in the article Configure Outlook client blocking.

Sécuriser Microsoft 365 comme un pro de la cyber-sécuritéSecure Microsoft 365 like a cybersecurity pro

Votre abonnement Microsoft 365 inclut un ensemble puissant de fonctionnalités de sécurité que vous pouvez utiliser pour protéger vos données et vos utilisateurs.Your Microsoft 365 subscription comes with a powerful set of security capabilities that you can use to protect your data and your users. Utilisez la Feuille de route du Centre de sécurité Microsoft 365 : principales priorités pour les 30 premiers jours, 90 premiers jours et au-delà, pour implémenter les meilleures pratiques recommandées par Microsoft pour sécuriser votre client Microsoft 365.Use the Microsoft 365 security roadmap - Top priorities for the first 30 days, 90 days, and beyond to implement Microsoft recommended best practices for securing your Microsoft 365 tenant.

  • Tâches à effectuer lors des 30 premiers jours.Tasks to accomplish in the first 30 days. Celles-ci ont un effet immédiat et ont un faible impact sur vos utilisateurs.These have immediate effect and are low-impact to your users.

  • Tâches à accomplir dans les 90 premiers jours.Tasks to accomplish in 90 days. Ces tâches prennent un peu plus de temps à planifier et à implémenter, mais augmentent considérablement votre sécurité.These take a bit more time to plan and implement but greatly improve your security posture.

  • Au-delà de 90 jours.Beyond 90 days. Ces améliorations sont à mettre en place pendant les 90 premiers jours.These enhancements build in your first 90 days work.

Voir aussi :See also: