Detetar e Remediar Regras do Outlook e Ataques de Injeções de Forms Personalizadas

Resumo Saiba como reconhecer e remediar as regras do Outlook e ataques personalizados de injeções de Forms no Office 365.

O que são as Regras do Outlook e o ataque de injeção de Forms Personalizada?

Depois de um atacante obter acesso à sua organização, tenta estabelecer uma posição de apoio para ficar ou voltar a entrar depois de ser detetado. Esta atividade chama-se estabelecer um mecanismo de persistência. Existem duas formas de um atacante utilizar o Outlook para estabelecer um mecanismo de persistência:

• Ao explorar as regras do Outlook.
• Ao injetar formulários personalizados no Outlook.

Reinstalar o Outlook ou mesmo dar um novo computador à pessoa afetada não ajuda. Quando a nova instalação do Outlook se liga à caixa de correio, todas as regras e formulários são sincronizados a partir da nuvem. Normalmente, as regras ou formulários são concebidos para executar código remoto e instalar software maligno no computador local. O software maligno rouba credenciais ou efetua outras atividades ilícitas.

A boa notícia é que, se mantiver os clientes do Outlook corrigidos para a versão mais recente, não estará vulnerável à ameaça, uma vez que as predefinições do cliente outlook atuais bloqueiam ambos os mecanismos.

Normalmente, os ataques seguem estes padrões:

O Exploit de Regras:

1. O atacante rouba as credenciais de um utilizador.
2. O atacante inicia sessão na caixa de correio do Exchange desse utilizador (Exchange Online ou no Exchange no local).
3. O atacante cria uma regra de reencaminhamento da Caixa de Entrada na caixa de correio. A regra de reencaminhamento é acionada quando a caixa de correio recebe uma mensagem específica do atacante que corresponde às condições da regra. As condições da regra e o formato da mensagem são feitos à medida uns dos outros.
4. O atacante envia o e-mail do acionador para a caixa de correio comprometida, que ainda está a ser utilizada normalmente pelo utilizador insuspeito.
5. Quando a caixa de correio recebe uma mensagem que corresponde às condições da regra, é aplicada a ação da regra. Normalmente, a ação de regra é iniciar uma aplicação num servidor remoto (WebDAV).
6. Normalmente, a aplicação instala software maligno no computador do utilizador (por exemplo, PowerShell Empire).
7. O software maligno permite que o atacante roube (ou roube novamente) o nome de utilizador e a palavra-passe do utilizador ou outras credenciais do computador local e efetue outras atividades maliciosas.

O Exploit Forms:

1. O atacante rouba as credenciais de um utilizador.
2. O atacante inicia sessão na caixa de correio do Exchange desse utilizador (Exchange Online ou no Exchange no local).
3. O atacante insere um modelo de formulário de correio personalizado na caixa de correio do utilizador. O formulário personalizado é acionado quando a caixa de correio recebe uma mensagem específica do atacante que requer que a caixa de correio carregue o formulário personalizado. O formulário personalizado e o formato da mensagem são feitos à medida uns dos outros.
4. O atacante envia o e-mail do acionador para a caixa de correio comprometida, que ainda está a ser utilizada normalmente pelo utilizador insuspeito.
5. Quando a caixa de correio recebe a mensagem, a caixa de correio carrega o formulário necessário. O formulário inicia uma aplicação num servidor remoto (WebDAV).
6. Normalmente, a aplicação instala software maligno no computador do utilizador (por exemplo, PowerShell Empire).
7. O software maligno permite que o atacante roube (ou roube novamente) o nome de utilizador e a palavra-passe do utilizador ou outras credenciais do computador local e efetue outras atividades maliciosas.

Qual o aspeto de um ataque de Injeção de Forms Personalizada e Regras Office 365?

É pouco provável que os utilizadores repare nestes mecanismos de persistência e podem até ser invisíveis para eles. A lista seguinte descreve os sinais (Indicadores de Compromisso) que indicam que os passos de remediação são necessários:

• Indicadores do comprometimento das Regras:

  • A Ação de Regra é iniciar uma aplicação.
  • Regra Referencia um EXE, ZIP ou URL.
  • No computador local, procure novos processos iniciados com origem no PID do Outlook.

• Os indicadores dos Formulários personalizados comprometem-se:

  • Formulários personalizados presentes guardados como a sua própria classe de mensagens.
  • A classe de mensagens contém código executável.
  • Normalmente, os formulários maliciosos são armazenados nas pastas Biblioteca de Forms Pessoal ou Caixa de Entrada.
  • O formulário tem o nome IPM. Nota. [nome personalizado].

Passos para encontrar sinais deste ataque e confirmá-lo

Pode utilizar qualquer um dos seguintes métodos para confirmar o ataque:

• Examine manualmente as regras e formulários de cada caixa de correio com o cliente do Outlook. Este método é minucioso, mas só pode verificar uma caixa de correio de cada vez. Este método pode ser muito demorado se tiver muitos utilizadores para verificar e também pode infetar o computador que está a utilizar.

• Utilize o script doGet-AllTenantRulesAndForms.ps1 PowerShell para capturar automaticamente todas as regras de reencaminhamento de correio e formulários personalizados para todos os utilizadores na sua organização. Este método é o mais rápido e seguro com a menor quantidade de sobrecarga.

  Nota

  A partir de janeiro de 2021, o script (e tudo o resto no repositório) é só de leitura e arquivado. As linhas 154 a 158 tentam ligar-se ao Exchange Online PowerShell através de um método que já não é suportado devido à descontinuação das ligações remotas do PowerShell em julho de 2023. Remova as linhas 154 a 158 e Ligue-se ao Exchange Online PowerShell antes de executar o script.

Confirmar o Ataque de Regras Utilizando o cliente do Outlook

1. Abra o cliente outlook dos utilizadores como utilizador. O utilizador poderá precisar da sua ajuda para examinar as regras na respetiva caixa de correio.

2. Consulte o artigo Gerir mensagens de e-mail através de regras para obter os procedimentos sobre como abrir a interface de regras no Outlook.

3. Procure as regras que o utilizador não criou ou quaisquer regras ou regras inesperadas com nomes suspeitos.

4. Procure na descrição da regra ações de regras que iniciam e se referem a uma .EXE, .ZIP ficheiro ou ao iniciar um URL.

5. Procure quaisquer novos processos que comecem a utilizar o ID do processo do Outlook. Veja Localizar o ID do Processo.

Passos para confirmar o ataque Forms com o cliente do Outlook

1. Abra o cliente do Outlook do utilizador como utilizador.

2. Siga os passos em Mostrar o separador Programador da versão do Utilizador do Outlook.

3. Abra o separador de programador agora visível no Outlook e selecione Estruturar um formulário.

4. Selecione a Caixa de Entrada na lista Procurar Em . Procure formulários personalizados. Os formulários personalizados são raros o suficiente para que, se tiver formulários personalizados, valha a pena analisar melhor.

5. Investigue quaisquer formulários personalizados, especialmente formulários marcados como ocultos.

6. Abra formulários personalizados e, no grupo Formulário , selecione Ver Código para ver o que é executado quando o formulário é carregado.

Passos para confirmar o ataque de Regras e Forms com o PowerShell

A forma mais simples de verificar um ataque de regras ou formulários personalizados é executar o Get-AllTenantRulesAndForms.ps1 script do PowerShell. Este script liga-se a todas as caixas de correio na sua organização e despeja todas as regras e formulários em dois ficheiros .csv.

Pré-requisitos

Tem de ser membro da função administrador^* global no Microsoft Entra ID ou no grupo de funções Gestão da Organização no Exchange Online, porque o script liga a todas as caixas de correio da organização para ler regras e formulários.

1. Utilize uma conta com direitos de administrador local para iniciar sessão no computador onde pretende executar o script.

2. Transfira ou copie o conteúdo do script Get-AllTenantRulesAndForms.ps1 do GitHub para uma pasta a partir da qual é fácil localizar e executar o script. O script cria dois ficheiros com carimbo de data na pasta: MailboxFormsExport-yyyy-MM-dd.csv e MailboxRulesExport-yyyy-MM-dd.csv.

   Remova as linhas 154 a 158 do script, porque esse método de ligação já não funciona a partir de julho de 2023.

3. Ligar ao PowerShell do Exchange Online.

4. Navegue no PowerShell para a pasta onde guardou o script e, em seguida, execute o seguinte comando:

   .\Get-AllTenantRulesAndForms.ps1
   

Interpretar o resultado

• MailboxRulesExport-yyyy-MM-dd.csv: Examine as regras (uma por linha) para as condições de ação que incluem aplicações ou executáveis:
  • ActionType (coluna A): a regra é provavelmente maliciosa se esta coluna contiver o valor ID_ACTION_CUSTOM.
  • IsPotentiallyMalicious (coluna D): a regra é provavelmente maliciosa se esta coluna contiver o valor TRUE.
  • ActionCommand (coluna G): a regra é provavelmente maliciosa se esta coluna contiver qualquer um dos seguintes valores:
    • Uma aplicação.
    • Um ficheiro .exe ou .zip.
    • Uma entrada desconhecida que se refere a um URL.
• MailboxFormsExport-yyyy-MM-dd.csv: em geral, a utilização de formulários personalizados é rara. Se encontrar algum neste livro, abra a caixa de correio desse utilizador e examine o próprio formulário. Se a sua organização não o colocou lá intencionalmente, é provável que seja malicioso.

Como parar e remediar as Regras do Outlook e Forms ataque

Se encontrar alguma prova de qualquer um destes ataques, a remediação é simples: basta eliminar a regra ou formulário na caixa de correio. Pode eliminar a regra ou formulário com o cliente do Outlook ou com o Exchange PowerShell.

Utilizar o Outlook

1. Identifique todos os dispositivos em que o utilizador utilizou o Outlook. Todos precisam de ser limpos de software maligno potencial. Não permita que o utilizador inicie sessão e utilize o e-mail até que todos os dispositivos tenham sido limpos.

2. Em cada dispositivo, siga os passos em Eliminar uma regra.

3. Se não tiver a certeza sobre a presença de outro software maligno, pode formatar e reinstalar todo o software no dispositivo. Para dispositivos móveis, pode seguir os passos dos fabricantes para repor o dispositivo para a imagem de fábrica.

4. Instale as versões mais atualizadas do Outlook. Lembre-se de que a versão atual do Outlook bloqueia ambos os tipos deste ataque por predefinição.

5. Assim que todas as cópias offline da caixa de correio tiverem sido removidas, siga os seguintes passos:

   • Reponha a palavra-passe do utilizador com um valor de alta qualidade (comprimento e complexidade).
   • Se a autenticação multifator (MFA) não estiver ativada para o utilizador, siga os passos em Configurar a autenticação multifator para os utilizadores

   Estes passos garantem que as credenciais do utilizador não são expostas através de outros meios (por exemplo, phishing ou reutilização de palavra-passe).

Utilizar o PowerShell

Ligue-se ao ambiente necessário do Exchange PowerShell:

• Caixas de correio em servidores Exchange no local: ligue-se a servidores Exchange com o PowerShell remoto ou Abra a Shell de Gestão do Exchange.

• Caixas de correio no Exchange Online: ligar ao Exchange Online PowerShell.

Depois de ligar ao ambiente necessário do Exchange PowerShell, pode efetuar as seguintes ações nas regras da Caixa de Entrada nas caixas de correio dos utilizadores:

• Ver regras da Caixa de Entrada numa caixa de correio:

  • Ver uma lista de resumo de todas as regras

    Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com
    

  • Ver informações detalhadas de uma regra específica:

    Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name" | Format-List
    

  Para obter informações detalhadas sobre sintaxe e parâmetros, veja Get-InboxRule.

• Remover regras da Caixa de Entrada de uma caixa de correio:

  • Remover uma regra específica:

    Remove-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name"
    

  • Remover todas as regras:

    Get-InboxRule -Mailbox laura@contoso.onmicrosoft.com | Remove-InboxRule
    

  Para obter informações detalhadas sobre sintaxe e parâmetros, veja Remove-InboxRule.

• Desative uma regra da Caixa de Entrada para uma investigação mais aprofundada:

  Disable-InboxRule -Mailbox laura@contoso.onmicrosoft.com -Identity "Suspicious Rule Name"
  

  Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Disable-InboxRule.

Como minimizar ataques futuros

Primeiro: proteger contas

As explorações de Regras e Forms só são utilizadas por um atacante depois de terem roubado ou violado a conta de um utilizador. Por isso, o primeiro passo para impedir a utilização destas explorações na sua organização é proteger agressivamente as contas de utilizador. Algumas das formas mais comuns de as contas serem violadas são através de ataques de phishing ou spray de palavra-passe.

A melhor forma de proteger as contas de utilizador (especialmente as contas de administrador) é configurar a MFA para os utilizadores. Também deve:

• Monitorize a forma como as contas de utilizador são acedidas e utilizadas. Pode não impedir a falha inicial, mas pode encurtar a duração e os efeitos da falha ao detetá-la mais cedo. Pode utilizar estas políticas de Office 365 Cloud App Security para monitorizar contas e alertá-lo para atividades invulgares:

  • Várias tentativas de início de sessão falhadas: aciona um alerta quando os utilizadores executam várias atividades de início de sessão falhadas numa única sessão relativamente à linha de base aprendida, o que pode indicar uma tentativa de falha de segurança.

  • Viagem impossível: aciona um alerta quando são detetadas atividades do mesmo utilizador em localizações diferentes num período de tempo inferior ao tempo de deslocação esperado entre as duas localizações. Esta atividade pode indicar que um utilizador diferente está a utilizar as mesmas credenciais. A deteção deste comportamento anómalo requer um período de aprendizagem inicial de sete dias para aprender o padrão de atividade de um novo utilizador.

  • Atividade representada invulgar (por utilizador): aciona um alerta quando os utilizadores executam várias atividades representadas numa única sessão relativamente à linha de base aprendida, o que pode indicar uma tentativa de violação.

• Utilize uma ferramenta como Office 365 Classificação de Segurança para gerir configurações e comportamentos de segurança da conta.

Segundo: manter os clientes do Outlook atualizados

Versões totalmente atualizadas e corrigidas do Outlook 2013 e 2016 desativam a ação de formulário/regra "Iniciar Aplicação" por predefinição. Mesmo que um atacante invada a conta, as ações da regra e do formulário são bloqueadas. Pode instalar as atualizações e patches de segurança mais recentes ao seguir os passos em Instalar atualizações do Office.

Seguem-se as versões de patch para clientes do Outlook 2013 e 2016:

• Outlook 2016: 16.0.4534.1001 ou superior.
• Outlook 2013: 15.0.4937.1000 ou superior.

Para obter mais informações sobre os patches de segurança individuais, consulte:

• Patch de Segurança do Outlook 2016
• Patch de Segurança do Outlook 2013

Terceiro: Monitorizar clientes do Outlook

Mesmo com os patches e atualizações instalados, é possível que um atacante altere a configuração do computador local para reativar o comportamento "Iniciar Aplicação". Pode utilizar a Gestão de Política de Grupo Avançadas para monitorizar e impor políticas de máquina local em dispositivos cliente.

Pode ver se "Iniciar Aplicação" foi reativado através de uma substituição no registo ao utilizar as informações em Como ver o registo do sistema com versões de 64 bits do Windows. Verifique estas subchaves:

• Outlook 2016:HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Security\
• Outlook 2013: HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Security\

Procure a chave EnableUnsafeClientMailRules:

• Se o valor for 1, o patch de segurança do Outlook foi substituído e o computador fica vulnerável ao ataque Formulário/Regras.
• Se o valor for 0, a ação "Iniciar Aplicação" será desativada.
• Se a chave de registo não estiver presente e a versão atualizada e corrigida do Outlook estiver instalada, o sistema não estará vulnerável a estes ataques.

Os clientes com instalações do Exchange no local devem considerar bloquear versões mais antigas do Outlook que não tenham patches disponíveis. Pode encontrar detalhes sobre este processo no artigo Configurar o bloqueio de clientes do Outlook.

Consulte também:

• Regras maliciosas do Outlook por SilentBreak Security Post sobre o Vetor de Regras fornece uma revisão detalhada de como as Regras do Outlook.
• MAPI através de HTTP e Mailrule Pwnage no blogue do Sensepost sobre Mailrule Pwnage aborda uma ferramenta chamada Régua que lhe permite explorar caixas de correio através das regras do Outlook.
• Formulários e shells do Outlook no blogue do Sensepost sobre Forms Vetor de Ameaças.
• Base de Código da Régua
• Indicadores de Compromisso da Régua