Erkennen und Beheben von Outlook-Regeln und Benutzerdefinierten Forms Injections-Angriffen
Tipp
Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.
Zusammenfassung Erfahren Sie, wie Sie die Outlook-Regeln und benutzerdefinierten Forms-Einschleusungsangriffe in Office 365 erkennen und beheben.
Was ist der Angriff auf Outlook-Regeln und benutzerdefinierte Forms Injection?
Nachdem ein Angreifer Zugriff auf Ihre organization erlangt hat, versucht er, einen Fuß zu fassen, um zu bleiben oder wieder einzusteigen, nachdem er entdeckt wurde. Diese Aktivität wird als Einrichten eines Persistenzmechanismus bezeichnet. Es gibt zwei Möglichkeiten, wie ein Angreifer Outlook verwenden kann, um einen Persistenzmechanismus einzurichten:
- Durch Ausnutzen von Outlook-Regeln.
- Durch Einfügen von benutzerdefinierten Formularen in Outlook.
Das erneute Installieren von Outlook oder sogar die Bereitstellung eines neuen Computers für die betroffene Person ist nicht hilfreich. Wenn die Neuinstallation von Outlook eine Verbindung mit dem Postfach herstellt, werden alle Regeln und Formulare aus der Cloud synchronisiert. Die Regeln oder Formulare sind in der Regel für die Ausführung von Remotecode und die Installation von Schadsoftware auf dem lokalen Computer konzipiert. Die Malware stiehlt Anmeldeinformationen oder führt andere illegale Aktivitäten aus.
Die gute Nachricht ist: Wenn Sie Outlook-Clients auf die neueste Version patchen, sind Sie nicht anfällig für die Bedrohung, da die aktuellen Outlook-Clientstandardeinstellungen beide Mechanismen blockieren.
Die Angriffe folgen in der Regel den folgenden Mustern:
Der Regel-Exploit:
- Der Angreifer stiehlt die Anmeldeinformationen eines Benutzers.
- Der Angreifer meldet sich beim Exchange-Postfach dieses Benutzers (Exchange Online oder lokales Exchange) an.
- Der Angreifer erstellt eine Weiterleitungsregel für den Posteingang im Postfach. Die Weiterleitungsregel wird ausgelöst, wenn das Postfach eine bestimmte Nachricht vom Angreifer empfängt, die den Bedingungen der Regel entspricht. Die Regelbedingungen und das Nachrichtenformat sind aufeinander abgestimmt.
- Der Angreifer sendet die Trigger-E-Mail an das kompromittierte Postfach, das vom ahnungslosen Benutzer weiterhin normal verwendet wird.
- Wenn das Postfach eine Nachricht empfängt, die den Bedingungen der Regel entspricht, wird die Aktion der Regel angewendet. In der Regel besteht die Regelaktion darin, eine Anwendung auf einem Remoteserver (WebDAV) zu starten.
- In der Regel installiert die Anwendung Schadsoftware auf dem Computer des Benutzers (z. B. PowerShell Empire).
- Die Schadsoftware ermöglicht es dem Angreifer, den Benutzernamen und das Kennwort des Benutzers oder andere Anmeldeinformationen vom lokalen Computer zu stehlen (oder erneut zu stehlen) und andere schädliche Aktivitäten auszuführen.
Der Forms Exploit:
- Der Angreifer stiehlt die Anmeldeinformationen eines Benutzers.
- Der Angreifer meldet sich beim Exchange-Postfach dieses Benutzers (Exchange Online oder lokales Exchange) an.
- Der Angreifer fügt eine benutzerdefinierte E-Mail-Formularvorlage in das Postfach des Benutzers ein. Das benutzerdefinierte Formular wird ausgelöst, wenn das Postfach eine bestimmte Nachricht vom Angreifer empfängt, die das Postfach zum Laden des benutzerdefinierten Formulars benötigt. Das benutzerdefinierte Formular und das Nachrichtenformat sind aufeinander zugeschnitten.
- Der Angreifer sendet die Trigger-E-Mail an das kompromittierte Postfach, das vom ahnungslosen Benutzer weiterhin normal verwendet wird.
- Wenn das Postfach die Nachricht empfängt, lädt das Postfach das erforderliche Formular. Das Formular startet eine Anwendung auf einem Remoteserver (WebDAV).
- In der Regel installiert die Anwendung Schadsoftware auf dem Computer des Benutzers (z. B. PowerShell Empire).
- Die Schadsoftware ermöglicht es dem Angreifer, den Benutzernamen und das Kennwort des Benutzers oder andere Anmeldeinformationen vom lokalen Computer zu stehlen (oder erneut zu stehlen) und andere schädliche Aktivitäten auszuführen.
Wie könnte ein Angriff von "Rules" und "Custom Forms Injection" Office 365 aussehen?
Es ist unwahrscheinlich, dass Benutzer diese Persistenzmechanismen bemerken, und sie sind möglicherweise sogar für sie unsichtbar. In der folgenden Liste werden die Anzeichen (Indikatoren der Kompromittierung) beschrieben, die darauf hinweisen, dass Korrekturschritte erforderlich sind:
Indikatoren für den Regelkompromitt:
- Regelaktion ist das Starten einer Anwendung.
- Regel Verweist auf exe, ZIP oder URL.
- Suchen Sie auf dem lokalen Computer nach neuen Prozessstarts, die von der Outlook-PID stammen.
Indikatoren für die Kompromittierung von benutzerdefinierten Formularen:
- Benutzerdefinierte Formulare werden als eigene Nachrichtenklasse gespeichert.
- Die Nachrichtenklasse enthält ausführbaren Code.
- In der Regel werden böswillige Formulare in persönlichen Forms-Bibliotheks- oder Posteingangsordnern gespeichert.
- Das Formular hat den Namen IPM. Anmerkung. [benutzerdefinierter Name].
Schritte zum Auffinden und Bestätigen dieses Angriffs
Sie können eine der folgenden Methoden verwenden, um den Angriff zu bestätigen:
Überprüfen Sie die Regeln und Formulare für jedes Postfach mithilfe des Outlook-Clients manuell. Diese Methode ist gründlich, aber Sie können jeweils nur ein Postfach überprüfen. Diese Methode kann sehr zeitaufwändig sein, wenn Sie viele Benutzer zu überprüfen haben, und kann auch den computer infizieren, den Sie verwenden.
Verwenden Sie das Get-AllTenantRulesAndForms.ps1 PowerShell-Skript, um automatisch alle E-Mail-Weiterleitungsregeln und benutzerdefinierten Formulare für alle Benutzer in Ihrem organization zu speichern. Diese Methode ist die schnellste und sicherste mit dem geringsten Aufwand.
Hinweis
Ab Januar 2021 ist das Skript (und alles andere im Repository) schreibgeschützt und archiviert. Die Zeilen 154 bis 158 versuchen, eine Verbindung mit Exchange Online PowerShell mithilfe einer Methode herzustellen, die aufgrund der Einstellung von PowerShell-Remoteverbindungen im Juli 2023 nicht mehr unterstützt wird. Entfernen Sie die Zeilen 154 bis 158 und Verbinden mit Exchange Online PowerShell, bevor Sie das Skript ausführen.
Bestätigen des Regelangriffs mithilfe des Outlook-Clients
Öffnen Sie den Outlook-Client des Benutzers als Benutzer. Der Benutzer benötigt möglicherweise Ihre Hilfe bei der Untersuchung der Regeln für sein Postfach.
Die Verfahren zum Öffnen der Regelschnittstelle in Outlook finden Sie im Artikel Verwalten von E-Mail-Nachrichten mithilfe von Regeln .
Suchen Sie nach Regeln, die der Benutzer nicht erstellt hat, oder nach unerwarteten Regeln oder Regeln mit verdächtigen Namen.
Suchen Sie in der Regelbeschreibung nach Regelaktionen, die starten und anwenden oder auf eine .EXE, .ZIP Datei oder zum Starten einer URL verweisen.
Suchen Sie nach neuen Prozessen, die mit der Outlook-Prozess-ID beginnen. Weitere Informationen finden Sie unter Ermitteln der Prozess-ID.
Schritte zum Bestätigen des Forms Angriffs mithilfe des Outlook-Clients
Öffnen Sie den Outlook-Client des Benutzers als Benutzer.
Führen Sie die Schritte unter Anzeigen der Registerkarte Entwickler für die Outlook-Version des Benutzers aus.
Öffnen Sie die jetzt sichtbare Registerkarte Entwickler in Outlook, und wählen Sie Formular entwerfen aus.
Wählen Sie in der Liste Suchen in den Posteingang aus. Suchen Sie nach benutzerdefinierten Formularen. Benutzerdefinierte Formulare sind selten genug, sodass sie, wenn Sie überhaupt über benutzerdefinierte Formulare verfügen, einen tieferen Blick wert sind.
Untersuchen Sie alle benutzerdefinierten Formulare, insbesondere Formulare, die als ausgeblendet gekennzeichnet sind.
Öffnen Sie alle benutzerdefinierten Formulare, und wählen Sie in der Gruppe Formulardie Option Code anzeigen aus, um zu sehen, was beim Laden des Formulars ausgeführt wird.
Schritte zum Bestätigen des Regel- und Forms-Angriffs mithilfe von PowerShell
Die einfachste Möglichkeit zum Überprüfen eines Regel- oder Benutzerdefinierten Formularangriffs besteht darin, das Get-AllTenantRulesAndForms.ps1 PowerShell-Skript auszuführen. Dieses Skript stellt eine Verbindung mit jedem Postfach in Ihrem organization her und sichert alle Regeln und Formulare in zwei .csv Dateien.
Voraussetzungen
Sie müssen Mitglied der Rolle "Globaler Administrator*" in Microsoft Entra ID oder der Rollengruppe "Organisationsverwaltung" in Exchange Online sein, da das Skript eine Verbindung mit jedem Postfach im organization herstellt, um Regeln und Formulare zu lesen.
Wichtig
* Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre organization bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.
Verwenden Sie ein Konto mit lokalen Administratorrechten, um sich bei dem Computer anzumelden, auf dem Sie das Skript ausführen möchten.
Laden Sie den Inhalt des Get-AllTenantRulesAndForms.ps1 Skripts von GitHub in einen Ordner herunter, der leicht zu finden und auszuführen ist. Das Skript erstellt zwei Datumsstempeldateien im Ordner:
MailboxFormsExport-yyyy-MM-dd.csv
undMailboxRulesExport-yyyy-MM-dd.csv
.Entfernen Sie die Zeilen 154 bis 158 aus dem Skript, da diese Verbindungsmethode ab Juli 2023 nicht mehr funktioniert.
Stellen Sie eine Verbindung mit Exchange Online PowerShell her.
Navigieren Sie in PowerShell zu dem Ordner, in dem Sie das Skript gespeichert haben, und führen Sie dann den folgenden Befehl aus:
.\Get-AllTenantRulesAndForms.ps1
Interpretieren der Ausgabe
-
MailboxRulesExport-yyyy-MM-dd.csv: Überprüfen Sie die Regeln (eine pro Zeile) auf Aktionsbedingungen, die Anwendungen oder ausführbare Dateien enthalten:
-
ActionType (Spalte A): Die Regel ist wahrscheinlich böswillig, wenn diese Spalte den Wert
ID_ACTION_CUSTOM
enthält. -
IsPotentiallyMalicious (Spalte D): Die Regel ist wahrscheinlich böswillig, wenn diese Spalte den Wert
TRUE
enthält. -
ActionCommand (Spalte G): Die Regel ist wahrscheinlich böswillig, wenn diese Spalte einen der folgenden Werte enthält:
- Eine Anwendung.
- Eine .exe- oder .zip-Datei.
- Ein unbekannter Eintrag, der auf eine URL verweist.
-
ActionType (Spalte A): Die Regel ist wahrscheinlich böswillig, wenn diese Spalte den Wert
- MailboxFormsExport-yyyy-MM-dd.csv: Im Allgemeinen ist die Verwendung von benutzerdefinierten Formularen selten. Wenn Sie in dieser Arbeitsmappe eine finden, öffnen Sie das Postfach dieses Benutzers, und untersuchen Sie das Formular selbst. Wenn Ihr organization sie nicht absichtlich dort abgelegt hat, ist dies wahrscheinlich böswillig.
So beenden und beheben Sie den Angriff auf Outlook-Regeln und Forms
Wenn Sie Beweise für einen dieser Angriffe finden, ist die Behebung einfach: Löschen Sie einfach die Regel oder das Formular im Postfach. Sie können die Regel oder das Formular mithilfe des Outlook-Clients oder mithilfe von Exchange PowerShell löschen.
Verwenden von Outlook
Identifizieren Sie alle Geräte, auf denen der Benutzer Outlook verwendet hat. Sie alle müssen von potenzieller Schadsoftware bereinigt werden. Erlauben Sie dem Benutzer nicht, sich anzumelden und E-Mails zu verwenden, bis alle Geräte bereinigt wurden.
Führen Sie auf jedem Gerät die Schritte unter Löschen einer Regel aus.
Wenn Sie sich nicht sicher sind, ob andere Schadsoftware vorhanden ist, können Sie die gesamte Software auf dem Gerät formatieren und neu installieren. Bei mobilen Geräten können Sie die Herstellerschritte ausführen, um das Gerät auf das Werksimage zurückzusetzen.
Installieren Sie die aktuellsten Versionen von Outlook. Denken Sie daran, dass die aktuelle Version von Outlook standardmäßig beide Arten dieses Angriffs blockiert.
Nachdem alle Offlinekopien des Postfachs entfernt wurden, führen Sie die folgenden Schritte aus:
- Setzen Sie das Kennwort des Benutzers mit einem hohen Qualitätswert (Länge und Komplexität) zurück.
- Wenn die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) für den Benutzer nicht aktiviert ist, führen Sie die Schritte unter Einrichten der mehrstufigen Authentifizierung für Benutzer aus.
Diese Schritte stellen sicher, dass die Anmeldeinformationen des Benutzers nicht auf andere Weise verfügbar gemacht werden (z. B. Phishing oder Wiederverwendung von Kennwörtern).
Verwendung von PowerShell
Stellen Sie eine Verbindung mit der erforderlichen Exchange PowerShell-Umgebung her:
Postfächer auf lokalen Exchange-Servern: Stellen Sie mithilfe von Remote-PowerShell eine Verbindung mit Exchange-Servern her, oder öffnen Sie die Exchange-Verwaltungsshell.
Postfächer in Exchange Online: Stellen Sie eine Verbindung mit Exchange Online PowerShell her.
Nachdem Sie eine Verbindung mit der erforderlichen Exchange PowerShell-Umgebung hergestellt haben, können Sie die folgenden Aktionen für Posteingangsregeln in Benutzerpostfächern ausführen:
Anzeigen von Posteingangsregeln in einem Postfach:
Anzeigen einer Zusammenfassungsliste aller Regeln
Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com
Zeigen Sie detaillierte Informationen für eine bestimmte Regel an:
Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name" | Format-List
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-InboxRule.
Entfernen von Posteingangsregeln aus einem Postfach:
Entfernen Sie eine bestimmte Regel:
Remove-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name"
Entfernen Sie alle Regeln:
Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com | Remove-InboxRule
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-InboxRule.
Deaktivieren Sie eine Posteingangsregel zur weiteren Untersuchung:
Disable-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name"
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Disable-InboxRule.
So minimieren Sie zukünftige Angriffe
Erstens: Schützen von Konten
Die Exploits "Rules" und "Forms" werden nur von einem Angreifer verwendet, nachdem er das Konto eines Benutzers gestohlen oder verletzt hat. Ihr erster Schritt, um die Verwendung dieser Exploits gegen Ihre organization zu verhindern, besteht darin, Benutzerkonten aggressiv zu schützen. Einige der häufigsten Methoden, wie Konten verletzt werden, sind Phishing- oder Kennwortsprayangriffe.
Die beste Möglichkeit zum Schützen von Benutzerkonten (insbesondere Administratorkonten) besteht darin, MFA für Benutzer einzurichten. Außerdem sollten Sie:
Überwachen Sie, wie auf Benutzerkonten zugegriffen und verwendet wird. Sie können die anfängliche Sicherheitsverletzung möglicherweise nicht verhindern, aber Sie können die Dauer und die Auswirkungen der Sicherheitsverletzung verkürzen, indem Sie sie früher erkennen. Sie können diese Office 365 Cloud App Security Richtlinien verwenden, um Konten zu überwachen und Sie bei ungewöhnlichen Aktivitäten zu warnen:
Mehrere fehlgeschlagene Anmeldeversuche: Löst eine Warnung aus, wenn Benutzer in einer einzelnen Sitzung in Bezug auf die gelernte Baseline mehrere fehlgeschlagene Anmeldeaktivitäten ausführen, was auf einen versuchten Verstoß hinweisen kann.
Unmögliche Reise: Löst eine Warnung aus, wenn Aktivitäten vom gleichen Benutzer an verschiedenen Orten innerhalb eines Zeitraums erkannt werden, der kürzer ist als die erwartete Reisezeit zwischen den beiden Standorten. Diese Aktivität kann darauf hindeuten, dass ein anderer Benutzer dieselben Anmeldeinformationen verwendet. Die Erkennung dieses anomalen Verhaltens erfordert einen anfänglichen Lernzeitraum von sieben Tagen, um das Aktivitätsmuster eines neuen Benutzers zu erlernen.
Ungewöhnliche Identitätswechselaktivität (nach Benutzer): Löst eine Warnung aus, wenn Benutzer in einer einzelnen Sitzung mehrere Aktivitäten im Identitätswechsel in Bezug auf die gelernte Baseline ausführen, was auf einen versuchten Verstoß hindeuten kann.
Verwenden Sie ein Tool wie Office 365 Sicherheitsbewertung, um Kontosicherheitskonfigurationen und -verhalten zu verwalten.
Zweitens: Outlook-Clients auf dem neuesten Stand halten
Vollständig aktualisierte und gepatchte Versionen von Outlook 2013 und 2016 deaktivieren standardmäßig die Regel-/Formularaktion "Anwendung starten". Auch wenn ein Angreifer das Konto verletzt, werden die Regel- und Formularaktionen blockiert. Sie können die neuesten Updates und Sicherheitspatches installieren, indem Sie die Schritte unter Installieren von Office-Updates ausführen.
Dies sind die Patchversionen für Outlook 2013- und 2016-Clients:
- Outlook 2016: 16.0.4534.1001 oder höher.
- Outlook 2013: 15.0.4937.1000 oder höher.
Weitere Informationen zu den einzelnen Sicherheitspatches finden Sie unter:
Drittens: Überwachen von Outlook-Clients
Selbst wenn die Patches und Updates installiert sind, ist es für einen Angreifer möglich, die Konfiguration des lokalen Computers zu ändern, um das Verhalten "Anwendung starten" erneut zu ermöglichen. Sie können advanced Gruppenrichtlinie Management verwenden, um lokale Computerrichtlinien auf Clientgeräten zu überwachen und zu erzwingen.
Anhand der Informationen unter Anzeigen der Systemregistrierung mit 64-Bit-Versionen von Windows können Sie sehen, ob "Anwendung starten" über eine Außerkraftsetzung in der Registrierung erneut aktiviert wurde. Überprüfen Sie die folgenden Unterschlüssel:
-
Outlook 2016:
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Security\
-
Outlook 2013:
HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Security\
Suchen Sie nach dem Schlüssel EnableUnsafeClientMailRules
:
- Wenn der Wert 1 ist, wurde der Outlook-Sicherheitspatch überschrieben, und der Computer ist anfällig für den Formular-/Regelangriff.
- Wenn der Wert 0 ist, ist die Aktion "Anwendung starten" deaktiviert.
- Wenn der Registrierungsschlüssel nicht vorhanden ist und die aktualisierte und gepatchte Version von Outlook installiert ist, ist das System nicht anfällig für diese Angriffe.
Kunden mit lokalen Exchange-Installationen sollten erwägen, ältere Versionen von Outlook zu blockieren, für die keine Patches verfügbar sind. Ausführliche Informationen zu diesem Vorgang finden Sie im Artikel Konfigurieren der Outlook-Clientblockierung.
Siehe auch:
- Böswillige Outlook-Regeln von SilentBreak Sicherheitsbeitrag zu Regeln Vector bietet eine detaillierte Überprüfung der Outlook-Regeln.
- MAPI über HTTP und Mailrule Pwnage im Sensepost-Blog über Mailrule Pwnage erläutert ein Tool namens Ruler, mit dem Sie Postfächer über Outlook-Regeln nutzen können.
- Outlook-Formulare und Shells im Sensepost-Blog über Forms Threat Vector.
- Codebasis des Lineals
- Ruler Indicators of Compromise