Rilevare e correggere le regole di Outlook e gli attacchi Forms injection personalizzati

• Si applica a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni dettagliate su chi può iscriversi e condizioni di provaqui.

Riepilogo Informazioni su come riconoscere e correggere le regole di Outlook e gli attacchi Forms injection personalizzati in Office 365.

Quali sono le regole di Outlook e l'attacco iniezione di Forms personalizzato?

Dopo che un utente malintenzionato ha ottenuto l'accesso all'organizzazione, tenta di stabilire un punto d'appoggio per rimanere o tornare dopo essere stato individuato. Questa attività viene chiamata creazione di un meccanismo di persistenza. Esistono due modi in cui un utente malintenzionato può usare Outlook per stabilire un meccanismo di persistenza:

• Sfruttando le regole di Outlook.
• Inserendo moduli personalizzati in Outlook.

Reinstallare Outlook, o anche dare alla persona interessata un nuovo computer non aiuta. Quando la nuova installazione di Outlook si connette alla cassetta postale, tutte le regole e i moduli vengono sincronizzati dal cloud. Le regole o i moduli sono in genere progettati per eseguire codice remoto e installare malware nel computer locale. Il malware ruba le credenziali o esegue altre attività illecite.

La buona notizia è: se si mantengono i client di Outlook patch alla versione più recente, non si è vulnerabili alla minaccia come impostazioni predefinite client di Outlook corrente bloccare entrambi i meccanismi.

Gli attacchi seguono in genere questi modelli:

Exploit delle regole:

1. L'utente malintenzionato ruba le credenziali di un utente.
2. L'utente malintenzionato accede alla cassetta postale di Exchange dell'utente (Exchange Online o Exchange locale).
3. L'utente malintenzionato crea una regola posta in arrivo di inoltro nella cassetta postale. La regola di inoltro viene attivata quando la cassetta postale riceve un messaggio specifico dall'utente malintenzionato che corrisponde alle condizioni della regola. Le condizioni della regola e il formato del messaggio sono personalizzati l'uno per l'altro.
4. L'utente malintenzionato invia il messaggio di posta elettronica del trigger alla cassetta postale compromessa, che viene ancora usata normalmente dall'utente ignaro.
5. Quando la cassetta postale riceve un messaggio che corrisponde alle condizioni della regola, viene applicata l'azione della regola. In genere, l'azione della regola consiste nell'avviare un'applicazione in un server remoto (WebDAV).
6. In genere, l'applicazione installa malware nel computer dell'utente (ad esempio, PowerShell Empire).
7. Il malware consente all'utente malintenzionato di rubare (o rubare di nuovo) il nome utente e la password o altre credenziali dal computer locale ed eseguire altre attività dannose.

Exploit Forms:

1. L'utente malintenzionato ruba le credenziali di un utente.
2. L'utente malintenzionato accede alla cassetta postale di Exchange dell'utente (Exchange Online o Exchange locale).
3. L'utente malintenzionato inserisce un modello di modulo di posta elettronica personalizzato nella cassetta postale dell'utente. Il modulo personalizzato viene attivato quando la cassetta postale riceve un messaggio specifico dall'utente malintenzionato che richiede alla cassetta postale di caricare il modulo personalizzato. Il modulo personalizzato e il formato del messaggio sono personalizzati l'uno per l'altro.
4. L'utente malintenzionato invia il messaggio di posta elettronica del trigger alla cassetta postale compromessa, che viene ancora usata normalmente dall'utente ignaro.
5. Quando la cassetta postale riceve il messaggio, la cassetta postale carica il modulo richiesto. Il modulo avvia un'applicazione in un server remoto (WebDAV).
6. In genere, l'applicazione installa malware nel computer dell'utente (ad esempio, PowerShell Empire).
7. Il malware consente all'utente malintenzionato di rubare (o rubare di nuovo) il nome utente e la password o altre credenziali dal computer locale ed eseguire altre attività dannose.

Che aspetto possono avere un attacco rules e custom Forms injection Office 365?

È improbabile che gli utenti notino questi meccanismi di persistenza e potrebbero anche essere invisibili. L'elenco seguente descrive i segni (indicatori di compromissione) che indicano che sono necessari passaggi di correzione:

• Indicatori della compromissione delle regole:

  • Azione regola consiste nell'avviare un'applicazione.
  • La regola fa riferimento a un EXE, ZIP o URL.
  • Nel computer locale cercare nuovi processi che hanno origine dal PID di Outlook.

• Indicatori della compromissione dei moduli personalizzati:

  • I moduli personalizzati vengono salvati come classe messaggio personalizzata.
  • La classe messaggio contiene codice eseguibile.
  • In genere, i moduli dannosi vengono archiviati nelle cartelle Raccolta Forms personale o Posta in arrivo.
  • Il modulo è denominato IPM. Nota. [nome personalizzato].

Passaggi per trovare i segni di questo attacco e confermarlo

È possibile usare uno dei metodi seguenti per confermare l'attacco:

• Esaminare manualmente le regole e i moduli per ogni cassetta postale usando il client Outlook. Questo metodo è accurato, ma è possibile controllare solo una cassetta postale alla volta. Questo metodo può richiedere molto tempo se si hanno molti utenti da controllare e potrebbe anche infettare il computer in uso.

• Usare lo script di PowerShellGet-AllTenantRulesAndForms.ps1per eseguire automaticamente il dump di tutte le regole di inoltro della posta elettronica e i moduli personalizzati per tutti gli utenti dell'organizzazione. Questo metodo è il più veloce e sicuro con la quantità minima di sovraccarico.

  Nota

  A partire da gennaio 2021, lo script (e tutto il resto nel repository) è di sola lettura e archiviato. Le righe da 154 a 158 tentano di connettersi a Exchange Online PowerShell usando un metodo non più supportato a causa della deprecazione delle connessioni remote di PowerShell nel mese di luglio 2023. Rimuovere le righe da 154 a 158 e Connettersi a Exchange Online PowerShell prima di eseguire lo script.

Confermare l'attacco alle regole tramite il client Outlook

1. Aprire il client Outlook utenti come utente. L'utente potrebbe avere bisogno dell'aiuto dell'utente per esaminare le regole nella propria cassetta postale.

2. Per le procedure su come aprire l'interfaccia delle regole in Outlook, vedere l'articolo Gestire i messaggi di posta elettronica usando le regole .

3. Cercare regole che l'utente non ha creato o regole impreviste o con nomi sospetti.

4. Cercare nella descrizione della regola le azioni delle regole che avviano e fanno riferimento a un .EXE, .ZIP file o all'avvio di un URL.

5. Cercare eventuali nuovi processi che iniziano a usare l'ID processo di Outlook. Fare riferimento a Trovare l'ID processo.

Procedura per confermare l'attacco Forms tramite il client Outlook

1. Aprire il client Outlook utente come utente.

2. Seguire i passaggi descritti in Mostra la scheda Sviluppo per la versione dell'utente di Outlook.

3. Aprire la scheda per sviluppatori ora visibile in Outlook e selezionare Progetta un modulo.

4. Selezionare posta in arrivo dall'elenco Cerca in . Cercare i moduli personalizzati. I moduli personalizzati sono abbastanza rari che, se si dispone di moduli personalizzati, vale la pena esaminare in modo più approfondito.

5. Esaminare eventuali moduli personalizzati, in particolare i moduli contrassegnati come nascosti.

6. Aprire i moduli personalizzati e nel gruppo Modulo selezionare Visualizza codice per visualizzare le esecuzioni quando il modulo viene caricato.

Procedura per confermare l'attacco regole e Forms con PowerShell

Il modo più semplice per verificare un attacco di regole o moduli personalizzati consiste nell'eseguire lo script di PowerShell Get-AllTenantRulesAndForms.ps1 . Questo script si connette a ogni cassetta postale dell'organizzazione ed esegue il dump di tutte le regole e dei moduli in due file .csv.

Prerequisiti

È necessario essere membri del ruolo Amministratore globale in Microsoft Entra ID o del gruppo di ruoli Gestione organizzazione in Exchange Online, perché lo script si connette a ogni cassetta postale dell'organizzazione per leggere regole e moduli.

1. Usare un account con diritti di amministratore locale per accedere al computer in cui si intende eseguire lo script.

2. Scaricare o copiare il contenuto dello script Get-AllTenantRulesAndForms.ps1 da GitHub in una cartella facile da trovare ed eseguire lo script. Lo script crea due file contrassegnati per la data nella cartella: MailboxFormsExport-yyyy-MM-dd.csv e MailboxRulesExport-yyyy-MM-dd.csv.

   Rimuovere le righe da 154 a 158 dallo script, perché tale metodo di connessione non funziona più a partire da luglio 2023.

3. Connettersi a PowerShell per Exchange Online.

4. Passare in PowerShell alla cartella in cui è stato salvato lo script e quindi eseguire il comando seguente:

   .\Get-AllTenantRulesAndForms.ps1
   

Interpretazione dell'output

• MailboxRulesExport-yyyy-MM-dd.csv: esaminare le regole (una per riga) per le condizioni di azione che includono applicazioni o eseguibili:
  • ActionType (colonna A):: la regola è probabilmente dannosa se questa colonna contiene il valore ID_ACTION_CUSTOM.
  • IsPotentiallyMalicious (colonna D): la regola è probabilmente dannosa se questa colonna contiene il valore TRUE.
  • ActionCommand (colonna G):La regola è probabilmente dannosa se questa colonna contiene uno dei valori seguenti:
    • Un'applicazione.
    • File .exe o .zip.
    • Voce sconosciuta che fa riferimento a un URL.
• MailboxFormsExport-yyyy-MM-dd.csv: in generale, l'uso di moduli personalizzati è raro. Se sono presenti nella cartella di lavoro, aprire la cassetta postale dell'utente ed esaminare il modulo stesso. Se l'organizzazione non l'ha inserita intenzionalmente, è probabile che sia dannosa.

Come arrestare e correggere le regole di Outlook e l'attacco Forms

Se si trovano prove di uno di questi attacchi, la correzione è semplice: è sufficiente eliminare la regola o il modulo nella cassetta postale. È possibile eliminare la regola o il modulo usando il client Outlook o Exchange PowerShell.

Uso di Outlook

1. Identificare tutti i dispositivi in cui l'utente ha usato Outlook. Tutti devono essere puliti da potenziali malware. Non consentire all'utente di accedere e usare la posta elettronica fino a quando tutti i dispositivi non sono stati puliti.

2. In ogni dispositivo seguire i passaggi descritti in Eliminare una regola.

3. Se non si è certi della presenza di altro malware, è possibile formattare e reinstallare tutto il software nel dispositivo. Per i dispositivi mobili, è possibile seguire i passaggi dei produttori per reimpostare il dispositivo sull'immagine di fabbrica.

4. Installare le versioni più aggiornate di Outlook. Tenere presente che la versione corrente di Outlook blocca entrambi i tipi di questo attacco per impostazione predefinita.

5. Dopo aver rimosso tutte le copie offline della cassetta postale, seguire questa procedura:

   • Reimpostare la password dell'utente usando un valore di alta qualità (lunghezza e complessità).
   • Se l'autenticazione a più fattori non è attivata per l'utente, seguire la procedura descritta in Configurare l'autenticazione a più fattori per gli utenti

   Questi passaggi garantiscono che le credenziali dell'utente non vengano esposte con altri mezzi, ad esempio il phishing o il riutilizzo delle password.

Utilizzo di PowerShell

Connettersi all'ambiente Exchange PowerShell necessario:

• Cassette postali nei server Exchange locali: connettersi ai server Exchange usando PowerShell remoto o Aprire Exchange Management Shell.

• Cassette postali in Exchange Online: connettersi a Exchange Online PowerShell.

Dopo aver eseguito la connessione all'ambiente Exchange PowerShell necessario, è possibile eseguire le azioni seguenti nelle regole posta in arrivo nelle cassette postali utente:

• Visualizzare le regole di Posta in arrivo in una cassetta postale:

  • Visualizzare un elenco riepilogativo di tutte le regole

    Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com
    

  • Visualizzare informazioni dettagliate per una regola specifica:

    Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name" | Format-List
    

  Per informazioni dettagliate sulla sintassi e sui parametri, vedere Get-InboxRule.

• Rimuovere le regole di Posta in arrivo da una cassetta postale:

  • Rimuovere una regola specifica:

    Remove-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name"
    

  • Rimuovere tutte le regole:

    Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com | Remove-InboxRule
    

  Per informazioni dettagliate sulla sintassi e sui parametri, vedere Remove-InboxRule.

• Disattivare una regola posta in arrivo per ulteriori indagini:

  Disable-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name"
  

  Per informazioni dettagliate sulla sintassi e sui parametri, vedere Disable-InboxRule.

Come ridurre al minimo gli attacchi futuri

Prima di tutto: proteggere gli account

Le regole e gli exploit Forms vengono usati da un utente malintenzionato solo dopo aver rubato o violato l'account di un utente. Pertanto, il primo passaggio per impedire l'uso di questi exploit contro l'organizzazione consiste nel proteggere in modo aggressivo gli account utente. Alcuni dei modi più comuni in cui gli account vengono violati sono tramite attacchi di phishing o di spray password.

Il modo migliore per proteggere gli account utente (in particolare gli account amministratore) consiste nel configurare l'autenticazione a più fattori per gli utenti. È anche necessario:

• Monitorare l'accesso e l'uso degli account utente. Non è possibile impedire la violazione iniziale, ma è possibile abbreviare la durata e gli effetti della violazione rilevandola prima. È possibile usare questi criteri di Office 365 Cloud App Security per monitorare gli account e segnalare attività insolite:

  • Più tentativi di accesso non riusciti: attiva un avviso quando gli utenti eseguono più attività di accesso non riuscite in una singola sessione rispetto alla baseline appresa, che potrebbe indicare un tentativo di violazione.

  • Viaggio impossibile: attiva un avviso quando vengono rilevate attività dallo stesso utente in posizioni diverse entro un periodo di tempo inferiore al tempo di viaggio previsto tra le due posizioni. Questa attività potrebbe indicare che un utente diverso usa le stesse credenziali. Il rilevamento di questo comportamento anomalo richiede un periodo di apprendimento iniziale di sette giorni per apprendere il modello di attività di un nuovo utente.

  • Attività rappresentata insolita (per utente): attiva un avviso quando gli utenti eseguono più attività rappresentate in una singola sessione rispetto alla baseline appresa, che potrebbe indicare un tentativo di violazione.

• Usare uno strumento come Office 365 Secure Score per gestire le configurazioni e i comportamenti di sicurezza degli account.

Secondo: mantenere aggiornati i client di Outlook

Le versioni completamente aggiornate e con patch di Outlook 2013 e 2016 disabilitano l'azione "Avvia applicazione" per impostazione predefinita. Anche se un utente malintenzionato viola l'account, le azioni della regola e del modulo vengono bloccate. È possibile installare gli aggiornamenti più recenti e le patch di sicurezza seguendo la procedura descritta in Installare gli aggiornamenti di Office.

Ecco le versioni delle patch per i client Outlook 2013 e 2016:

• Outlook 2016: 16.0.4534.1001 o versione successiva.
• Outlook 2013: 15.0.4937.1000 o versione successiva.

Per altre informazioni sulle singole patch di sicurezza, vedere:

• patch di sicurezza Outlook 2016
• Patch di sicurezza di Outlook 2013

Terzo: Monitorare i client di Outlook

Anche con le patch e gli aggiornamenti installati, un utente malintenzionato può modificare la configurazione del computer locale per riabilitare il comportamento "Avvia applicazione". È possibile usare Advanced Criteri di gruppo Management per monitorare e applicare i criteri del computer locale nei dispositivi client.

È possibile verificare se "Avvia applicazione" è stato riabilitare tramite un override nel Registro di sistema usando le informazioni in Come visualizzare il Registro di sistema usando le versioni a 64 bit di Windows. Controllare queste sottochiavi:

• Outlook 2016:HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Security\
• Outlook 2013: HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Security\

Cercare la chiave EnableUnsafeClientMailRules:

• Se il valore è 1, la patch di sicurezza di Outlook è stata sostituita e il computer è vulnerabile all'attacco Modulo/Regole.
• Se il valore è 0, l'azione "Avvia applicazione" è disabilitata.
• Se la chiave del Registro di sistema non è presente e viene installata la versione aggiornata e con patch di Outlook, il sistema non è vulnerabile a questi attacchi.

I clienti con installazioni di Exchange locali devono prendere in considerazione il blocco delle versioni precedenti di Outlook che non hanno patch disponibili. I dettagli su questo processo sono disponibili nell'articolo Configurare il blocco client di Outlook.

Vedere anche:

• Regole di Outlook dannose di SilentBreak Security Post su Rules Vector fornisce una revisione dettagliata di come le regole di Outlook.
• MAPI su HTTP e Mailrule Pwnage nel blog Sensepost su Mailrule Pwnage illustra uno strumento denominato Ruler che consente di sfruttare le cassette postali tramite le regole di Outlook.
• Moduli e shell di Outlook nel blog Sensepost su Forms Threat Vector.
• Codebase righello
• Indicatori di compromissione del righello