Detectar e corrigir regras do Outlook e ataques personalizados de injeções de Forms

• Aplica-se a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

Resumo Saiba como reconhecer e corrigir as regras do Outlook e ataques personalizados de injeções de Forms em Office 365.

O que é o ataque de injeção do Outlook Rules and Custom Forms?

Depois que um invasor obtém acesso à sua organização, ele tenta estabelecer uma base para ficar ou voltar depois de ser descoberto. Essa atividade é chamada de estabelecer um mecanismo de persistência. Há duas maneiras de um invasor usar o Outlook para estabelecer um mecanismo de persistência:

• Explorando as regras do Outlook.
• Injetando formulários personalizados no Outlook.

Reinstalar o Outlook ou mesmo dar à pessoa afetada um novo computador não ajuda. Quando a nova instalação do Outlook se conecta à caixa de correio, todas as regras e formulários são sincronizados da nuvem. As regras ou formulários normalmente são projetados para executar código remoto e instalar malware no computador local. O malware rouba credenciais ou executa outras atividades ilícitas.

A boa notícia é: se você manter os clientes do Outlook corrigidos na versão mais recente, você não estará vulnerável à ameaça, pois os padrões atuais do cliente do Outlook bloqueiam ambos os mecanismos.

Os ataques normalmente seguem esses padrões:

A Exploração de Regras:

1. O invasor rouba as credenciais de um usuário.
2. O invasor entra na caixa de correio do Exchange desse usuário (Exchange Online ou no Exchange local).
3. O invasor cria uma regra de caixa de entrada de encaminhamento na caixa de correio. A regra de encaminhamento é disparada quando a caixa de correio recebe uma mensagem específica do invasor que corresponde às condições da regra. As condições de regra e o formato de mensagem são feitos sob medida um para o outro.
4. O invasor envia o email de gatilho para a caixa de correio comprometida, que ainda está sendo usada normalmente pelo usuário desavisado.
5. Quando a caixa de correio recebe uma mensagem que corresponde às condições da regra, a ação da regra é aplicada. Normalmente, a ação de regra é iniciar um aplicativo em um servidor WebDAV (remoto).
6. Normalmente, o aplicativo instala malware no computador do usuário (por exemplo, PowerShell Empire).
7. O malware permite que o invasor roube (ou roube novamente) o nome de usuário e a senha do usuário ou outras credenciais do computador local e execute outras atividades mal-intencionadas.

A exploração de Forms:

1. O invasor rouba as credenciais de um usuário.
2. O invasor entra na caixa de correio do Exchange desse usuário (Exchange Online ou no Exchange local).
3. O invasor insere um modelo de formulário de email personalizado na caixa de correio do usuário. O formulário personalizado é disparado quando a caixa de correio recebe uma mensagem específica do invasor que exige que a caixa de correio carregue o formulário personalizado. O formulário personalizado e o formato de mensagem são feitos sob medida um para o outro.
4. O invasor envia o email de gatilho para a caixa de correio comprometida, que ainda está sendo usada normalmente pelo usuário desavisado.
5. Quando a caixa de correio recebe a mensagem, a caixa de correio carrega o formulário necessário. O formulário inicia um aplicativo em um servidor WebDAV (remoto).
6. Normalmente, o aplicativo instala malware no computador do usuário (por exemplo, PowerShell Empire).
7. O malware permite que o invasor roube (ou roube novamente) o nome de usuário e a senha do usuário ou outras credenciais do computador local e execute outras atividades mal-intencionadas.

Como um ataque de injeção de Forms personalizada pode parecer Office 365?

É improvável que os usuários observem esses mecanismos de persistência e podem até ser invisíveis para eles. A lista a seguir descreve os sinais (Indicadores de Comprometimento) que indicam que as etapas de correção são necessárias:

• Indicadores do compromisso Regras:

  • A ação de regra é iniciar um aplicativo.
  • A regra referencia um EXE, ZIP ou URL.
  • No computador local, procure novos processos iniciados que se originem do PID do Outlook.

• Indicadores dos formulários personalizados comprometem:

  • Formulários personalizados presentes salvos como sua própria classe de mensagem.
  • A classe de mensagem contém código executável.
  • Normalmente, os formulários mal-intencionados são armazenados nas pastas Biblioteca de Forms Pessoal ou Caixa de Entrada.
  • O formulário se chama IPM. Nota. [nome personalizado].

Etapas para encontrar sinais desse ataque e confirmá-lo

Você pode usar um dos seguintes métodos para confirmar o ataque:

• Examine manualmente as regras e os formulários de cada caixa de correio usando o cliente do Outlook. Esse método é completo, mas você só pode marcar uma caixa de correio por vez. Esse método pode ser muito demorado se você tiver muitos usuários para marcar e também infectar o computador que você está usando.

• Use o scriptGet-AllTenantRulesAndForms.ps1 PowerShell para despejar automaticamente todas as regras de encaminhamento de email e formulários personalizados para todos os usuários da sua organização. Esse método é o mais rápido e seguro com a menor quantidade de sobrecarga.

  Observação

  A partir de janeiro de 2021, o script (e tudo mais no repositório) é somente leitura e arquivado. As linhas 154 a 158 tentam se conectar ao Exchange Online PowerShell usando um método que não tem mais suporte devido à preterição de conexões remotas do PowerShell em julho de 2023. Remova as linhas 154 a 158 e Conecte-se ao Exchange Online PowerShell antes de executar o script.

Confirmar o ataque de regras usando o cliente do Outlook

1. Abra o cliente do Outlook dos usuários como usuário. O usuário pode precisar de sua ajuda para examinar as regras em sua caixa de correio.

2. Consulte Gerenciar mensagens de email usando o artigo de regras para os procedimentos sobre como abrir a interface de regras no Outlook.

3. Procure regras que o usuário não criou ou regras inesperadas com nomes suspeitos.

4. Procure na descrição da regra ações de regra que iniciam e aplicativo ou se referem a um arquivo .EXE, .ZIP ou ao lançamento de uma URL.

5. Procure por novos processos que comecem a usar a ID do processo do Outlook. Consulte Localizar a ID do processo.

Etapas para confirmar o ataque Forms usando o cliente do Outlook

1. Abra o cliente do Outlook do usuário como usuário.

2. Siga as etapas em Mostrar a guia Desenvolvedor para a versão do usuário do Outlook.

3. Abra a guia desenvolvedor agora visível no Outlook e selecione projetar um formulário.

4. Selecione a caixa de entrada na lista Look In . Procure formulários personalizados. Formulários personalizados são raros o suficiente para que, se você tiver formulários personalizados, vale a pena uma visão mais profunda.

5. Investigue quaisquer formulários personalizados, especialmente formulários marcados como ocultos.

6. Abra todos os formulários personalizados e, no grupo Formulário , selecione Exibir Código para ver o que é executado quando o formulário é carregado.

Etapas para confirmar o ataque de Regras e Forms usando o PowerShell

A maneira mais simples de verificar um ataque de regras ou formulários personalizados é executar o scriptGet-AllTenantRulesAndForms.ps1 PowerShell. Esse script se conecta a todas as caixas de correio da sua organização e despeja todas as regras e formulários em dois arquivos .csv.

Pré-requisitos

Você precisa ser um membro da função administrador global no Microsoft Entra ID ou no grupo de funções gerenciamento de organização em Exchange Online, pois o script se conecta a todas as caixas de correio da organização para ler regras e formulários.

1. Use uma conta com direitos de administrador local para entrar no computador em que você pretende executar o script.

2. Baixe ou copie o conteúdo do scriptGet-AllTenantRulesAndForms.ps1 do GitHub para uma pasta de fácil localização e execução do script. O script cria dois arquivos carimbados de data na pasta: MailboxFormsExport-yyyy-MM-dd.csv e MailboxRulesExport-yyyy-MM-dd.csv.

   Remova as linhas 154 a 158 do script, pois esse método de conexão não funciona mais a partir de julho de 2023.

3. Conectar-se ao Exchange Online PowerShell.

4. Navegue no PowerShell até a pasta em que você salvou o script e execute o seguinte comando:

   .\Get-AllTenantRulesAndForms.ps1
   

Interpretando a saída

• MailboxRulesExport-yyyyy-MM-dd.csv: Examine as regras (uma por linha) para condições de ação que incluem aplicativos ou executáveis:
  • ActionType (coluna A): A regra provavelmente será mal-intencionada se esta coluna contiver o valor ID_ACTION_CUSTOM.
  • IsPotentiallyMalicious (coluna D): A regra provavelmente será mal-intencionada se esta coluna contiver o valor TRUE.
  • ActionCommand (coluna G): A regra provavelmente será mal-intencionada se esta coluna contiver qualquer um dos seguintes valores:
    • Um aplicativo.
    • Um arquivo .exe ou .zip.
    • Uma entrada desconhecida que se refere a uma URL.
• MailboxFormsExport-yyyyy-MM-dd.csv: Em geral, o uso de formulários personalizados é raro. Se você encontrar algum nesta pasta de trabalho, abra a caixa de correio do usuário e examine o formulário em si. Se sua organização não o colocou lá intencionalmente, provavelmente será mal-intencionado.

Como parar e corrigir o ataque de regras e Forms do Outlook

Se você encontrar qualquer evidência de qualquer um desses ataques, a correção será simples: basta excluir a regra ou o formulário na caixa de correio. Você pode excluir a regra ou o formulário usando o cliente do Outlook ou usando o Exchange PowerShell.

Usando o Outlook

1. Identifique todos os dispositivos em que o usuário usou o Outlook. Todos eles precisam ser limpos de malware em potencial. Não permita que o usuário entre e use email até que todos os dispositivos tenham sido limpos.

2. Em cada dispositivo, siga as etapas em Excluir uma regra.

3. Se você não tiver certeza sobre a presença de outro malware, poderá formatar e reinstalar todo o software no dispositivo. Para dispositivos móveis, você pode seguir as etapas dos fabricantes para redefinir o dispositivo para a imagem de fábrica.

4. Instale as versões mais atualizadas do Outlook. Lembre-se de que a versão atual do Outlook bloqueia os dois tipos desse ataque por padrão.

5. Depois que todas as cópias offline da caixa de correio forem removidas, siga as seguintes etapas:

   • Redefinir a senha do usuário usando um valor de alta qualidade (comprimento e complexidade).
   • Se a MFA (autenticação multifator) não estiver ativada para o usuário, siga as etapas na Configuração de autenticação multifator para usuários

   Essas etapas garantem que as credenciais do usuário não sejam expostas por meio de outros meios (por exemplo, phishing ou reutilização de senha).

Usando o PowerShell

Conecte-se ao ambiente necessário do Exchange PowerShell:

• Caixas de correio em servidores locais do Exchange: conecte-se aos servidores do Exchange usando o PowerShell remoto ou Abra o Shell de Gerenciamento do Exchange.

• Caixas de correio em Exchange Online: conecte-se ao Exchange Online PowerShell.

Depois de se conectar ao ambiente necessário do Exchange PowerShell, você poderá executar as seguintes ações nas regras da caixa de entrada nas caixas de correio do usuário:

• Exibir regras de caixa de entrada em uma caixa de correio:

  • Exibir uma lista de resumo de todas as regras

    Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com
    

  • Exibir informações detalhadas para uma regra específica:

    Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name" | Format-List
    

  Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Get-InboxRule.

• Remover regras de caixa de entrada de uma caixa de correio:

  • Remova uma regra específica:

    Remove-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name"
    

  • Remova todas as regras:

    Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com | Remove-InboxRule
    

  Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Remove-InboxRule.

• Desative uma regra de caixa de entrada para uma investigação mais aprofundada:

  Disable-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name"
  

  Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Disable-InboxRule.

Como minimizar ataques futuros

Primeiro: proteger contas

As explorações Regras e Forms só são usadas por um invasor depois de terem roubado ou violado a conta de um usuário. Portanto, sua primeira etapa para impedir o uso dessas explorações em relação à sua organização é proteger agressivamente as contas de usuário. Algumas das maneiras mais comuns pelas quais as contas são violadas são por meio de ataques de phishing ou spray de senha.

A melhor maneira de proteger contas de usuário (especialmente contas de administrador) é configurar o MFA para usuários. Você também deve:

• Monitore como as contas de usuário são acessadas e usadas. Você pode não impedir a violação inicial, mas pode reduzir a duração e os efeitos da violação detectando-a mais cedo. Você pode usar essas políticas Office 365 Cloud App Security para monitorar contas e alertá-lo para atividades incomuns:

  • Várias tentativas de logon com falha: dispara um alerta quando os usuários executam várias atividades de entrada com falha em uma única sessão em relação à linha de base aprendida, o que pode indicar uma tentativa de violação.

  • Viagem impossível: dispara um alerta quando as atividades são detectadas do mesmo usuário em locais diferentes em um período de tempo menor do que o tempo de viagem esperado entre os dois locais. Essa atividade pode indicar que um usuário diferente está usando as mesmas credenciais. Detectar esse comportamento anômalo requer um período inicial de aprendizado de sete dias para aprender o padrão de atividade de um novo usuário.

  • Atividade representada incomum (pelo usuário): dispara um alerta quando os usuários executam várias atividades representadas em uma única sessão em relação à linha de base aprendida, o que pode indicar uma tentativa de violação.

• Use uma ferramenta como Office 365 Pontuação Segura para gerenciar configurações e comportamentos de segurança da conta.

Segundo: manter os clientes do Outlook atualizados

Versões totalmente atualizadas e corrigidas do Outlook 2013 e 2016 desabilitam a ação de regra/formulário "Iniciar Aplicativo" por padrão. Mesmo que um invasor viole a conta, as ações de regra e formulário serão bloqueadas. Você pode instalar as atualizações e patches de segurança mais recentes seguindo as etapas em Instalar atualizações do Office.

Aqui estão as versões de patch para clientes do Outlook 2013 e 2016:

• Outlook 2016: 16.0.4534.1001 ou superior.
• Outlook 2013: 15.0.4937.1000 ou superior.

Para obter mais informações sobre os patches de segurança individuais, confira:

• Outlook 2016 Patch de Segurança
• Patch de segurança do Outlook 2013

Terceiro: Monitorar clientes do Outlook

Mesmo com os patches e atualizações instalados, é possível que um invasor altere a configuração do computador local para reenable o comportamento "Iniciar Aplicativo". Você pode usar o Gerenciamento avançado de Política de Grupo para monitorar e impor políticas de máquina local em dispositivos cliente.

Você pode ver se "Iniciar Aplicativo" foi habilitado novamente por meio de uma substituição no registro usando as informações em Como exibir o registro do sistema usando versões de 64 bits do Windows. Verifique estas subchaves:

• Outlook 2016:HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Security\
• Outlook 2013: HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Security\

Procure a chave EnableUnsafeClientMailRules:

• Se o valor for 1, o patch de segurança do Outlook será substituído e o computador ficará vulnerável ao ataque Formulário/Regras.
• Se o valor for 0, a ação "Iniciar Aplicativo" será desabilitada.
• Se a chave do registro não estiver presente e a versão atualizada e corrigida do Outlook estiver instalada, o sistema não estará vulnerável a esses ataques.

Os clientes com instalações locais do Exchange devem considerar bloquear versões mais antigas do Outlook que não têm patches disponíveis. Detalhes sobre esse processo podem ser encontrados no artigo Configurar o bloqueio de cliente do Outlook.

Veja também:

• Regras mal-intencionadas do Outlook pelo SilentBreak Security Post sobre o Vetor de Regras fornece uma revisão detalhada de como as Regras do Outlook.
• MAPI over HTTP and Mailrule Pwnage on the Sensepost blog about Mailrule Pwnage discusses a tool called Ruler that lets you exploit mailboxes through Outlook rules.
• Formulários e shells do Outlook no blog sensepost sobre Forms Vetor de Ameaças.
• Base de Código de Régua
• Indicadores de comprometimento da régua