Erkennen und Beheben der Outlook Regeln und benutzerdefinierten Formulareinfügungsangriffe. - Office 365

Infoabend „Schutz vor Gefahren im Internet“

Infoabend „Schutz vor Gefahren im Internet“

„Total vernetzt“ ist heutzutage fast jeder. Aber was genau ist eigentlich dieses „Netz“? Die Rede ist natürlich vom Internet. Es ist sehr schwer zu regulieren und zu kontrollieren. Und es ist Alltag für alle Jugendlichen. „Total vernetzt“ war auch der Titel des Theaterstücks zu Gefahren im Internet für die Klassen 5 und 6, das am Tag danach aufgeführt wurde. Aus diesem Grund konnten sich interessierte Eltern am Donnerstag vor den Faschingsferien über die Gefahren des Internets in der Aula des HHG informieren. Herr Reichert, Medienbeauftragter des HHG, gestaltete einen ebenso informativen wie unterhaltsamen Elternabend.

Da schon in der 5. Klasse nahezu jeder ein Smartphone besitzt und damit Zugriff auf das Internet hat, sollten Eltern ihre Kinder in Puncto Sicherheit mit diesem Gerät unterstützen. Bluetooth bspw. muss nur bei Bedarf angeschaltet, eine Firewall sollte ebenso wie ein Bildschirmcode selbstverständlich sein. Insbesondere die Bereiche soziale Netzwerke, Filme, Spiele und Musik bergen viele Gefahren, mit denen Eltern ihre Kinder nicht alleine lassen sollten.

Bis zu einem Alter von ca. 12 Jahren mögen Verbote und feste Regeln noch gut funktionieren. Vor der Pubertät muss allerdings massive Aufklärung geleistet werden. Es muss Verständnis hergestellt werden für das, was geht und was nicht geht. Mögliche Fallen müssen aufgezeigt und es muss thematisiert werden, welche Inhalte aus welchen Gründen problematisch sind. Im Internet gibt es viele problematische Inhalte, die Kinder aus den unterschiedlichsten Gründen überfordern. Die Darstellung von Gewalt oder pornographische Inhalte sind hier als Schwerpunkte zu nennen. Nicht jedes Spiel, an das Kinder gelangen, ist für ihr Alter auch geeignet. Echte Todesszenen finden sich im Netz, sind aber gewiss nicht für Kinderaugen geeignet. Begleiten Sie Ihre Kinder deshalb doch beim Surfen und thematisieren Sie, warum diese oder jene Inhalte nicht gut sind. Unterstützen kann Sie dabei ein Jungendschutzfilter. Darüber und über noch viele andere Inhalte zum Thema Internetsicherheit informiert bspw. die Seite klicksafe.de

Telefonterror, Beleidigungen in Chats oder Foren und das Hochladen peinlicher Bilder oder Videos sind nur einige Beispiele für Cybermobbing. Opfer kämpfen häufig mit psychischen Problemen. Es lohnt sich Hilfe zu holen und Anzeige bei der Polizei zu erstatten. Cybermobbing jeglicher Art ist strafbar und kann eine Freiheitsstrafe von bis zu fünf Jahren nach sich ziehen. Zentral ist u.a. das Recht am eigenen Bild. Nur wenn der Abgebildete einverstanden ist, darf ein Bild veröffentlicht werden.

Ähnlich verhält es sich mit dem Urheberrecht. Bilder, Musikstücke, Filme und Texte haben Autoren, Komponisten oder andere Rechteinhaber, deren Rechte durch illegales Herunterladen verletzt werden. Natürlich ist es in Ordnung, sich auf Plattformen wie Youtube, Clipfish oder Myvideo Musikvideos anzusehen, Internetradio zu hören und sogar mitzuschneiden. Das Knacken des Kopierschutzes, das Herunterladen oder zur Verfügung stellen von urheberrechtlich geschütztem Material auf Tauschbörsen, das Streamen, sowie die kommerzielle Verwertung von Kopien ist allerdings strafbar.

Eine App oder ein App-Update ist schnell heruntergeladen, damit aber auch leicht bspw. Malware oder Viren. Es empfiehlt sich deshalb Apps nur in zertifizierten Stores herunterzuladen. Das Durchlesen der AGB mit Augenmerk auf Mindestalter und Kosten ist Pflicht, weitere Informationen zur App lassen sich leicht über Rezensionen einholen. Einmal heruntergeladen können Berechtigungen einzelner Apps in den Systemeinstellungen überprüft und ggf. zurückgenommen werden. Wussten Sie, dass die Standardeinstellung bei WhatsApp oder Facebook der App u.a. freien Zugriff auf alle Kontakte und Ihren Standort erlaubt? Missbrauchsmöglichkeiten liegen auf der Hand. Achten Sie deshalb auf die Aktualität des Betriebssystems und der Sicherheitssoftware.

Jede Community weist in Puncto Datenschutz mehr oder weniger gravierende Mängel auf, Facebook landet sogar auf dem vorletzten Platz. Je mehr Daten (Adresse, Handynummer, Schule, Vereine) hier preisgegeben werden, desto leichter ist es (für Stalker), ein Bewegungsprofil zu erstellen. Aber auch potentielle zukünftige Arbeitgeber nutzen das Internet und soziale Netzwerke. Firmen haben mittlerweile Extraabteilungen, die den Spuren des Bewerbers im Internet folgen. Finden sich dabei bspw. kompromittierende Fotos, wird sich das negativ auf die Einstellungschancen auswirken. Das Netz vergisst nie! Was einmal im Netz ist, bleibt immer im Netz.

(Julia Greitzke)

LRZ: Bilder für '...

Bilder für '.../services/security/'

An dieser Stelle werden zentral Bilder, PDFs usw. zusammengefasst, die von mehr als einem Dokument benötigt werden. URL-Präfix für die folgenden Bilder und Dokumente: www.lrz-muenchen.de/services/security/pictures/

.../abuse_current.gif (7.2 KB) ist immer die aktuelle Statistik (im Augenblick die von 2009):

height="378" width="578" alt="Statistik: Entwicklung der Abuse-Fälle seit 1998"

.../copyright_current.gif (5.7 KB) ist immer die aktuelle Statistik (im Augenblick die von 2009):

height="372" width="574" alt="Statistik: Entwicklung der Fälle wegen Verletzung des Urheberrechts seit 2003"

.../benu-kurs.png (101 KB):

height="190" width="270" alt="LRZ-Vortrag "Einführung in die System- und Internet-Sicherheit""

Das Bild steht in vier Varianten zur Verfügung:

Geringe Auflösung Mittlere Auflösung alt="LRZ-Vortrag "Schattenseiten des Internet – Praktische Tipps zur Vermeidung von Gefahren"" Mit Text .../gefahren.jpg (17 KB):

height="196" width="270" .../gefahren_2.jpg (45 KB):

height="363" width="500" Ohne Text .../gefahren_blanko.jpg (15 KB):

height="193" width="270" .../gefahren_blanko_2.jpg (39 KB):

height="375" width="500"

.../nat-o-mat_no-internet.png (221 KB):

height="596" width="1003" alt = "Beispiel für eine Info-Seite bei einer Sperre durch den NAT-o-MAT"

Erkennen und Beheben der Outlook Regeln und benutzerdefinierten Formulareinfügungsangriffe. - Office 365

Inhaltsverzeichnis

Erkennen und Beheben von Outlook Regeln und Benutzerdefinierten Formulareinfügungsangriffen

Artikel

06/03/2022

6 Minuten Lesedauer

1 Mitwirkender Ist diese Seite hilfreich? Yes No Haben Sie weiteres Feedback für uns? Feedback wird an Microsoft gesendet: Wenn Sie auf die Sendeschaltfläche klicken, wird Ihr Feedback verwendet, um Microsoft-Produkte und -Dienste zu verbessern. Datenschutzrichtlinie Übermitteln Vielen Dank.

In diesem Artikel

Tipp Wussten Sie, dass Sie die Features in Microsoft 365 Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender für Office 365-Testversion im Microsoft 365 Defender Portal-Testversionen-Hub. Erfahren Sie hier, wer sich registrieren und testen kann.

Zusammenfassung Erfahren Sie, wie Sie die Outlook Regeln und benutzerdefinierten Forms Injections-Angriffe in Office 365 erkennen und beheben.

Was ist der Outlook Rules and Custom Forms Injection-Angriff?

Nachdem ein Angreifer Zugriff auf Ihre Organisation erhalten hat, versucht er, eine Fußzeile einzurichten, um zu bleiben oder wieder einzurücken, nachdem er entdeckt wurde. Diese Aktivität wird als Einrichtung eines Persistenzmechanismus bezeichnet. Es gibt zwei Möglichkeiten, wie ein Angreifer Outlook verwenden kann, um einen Persistenzmechanismus einzurichten:

Durch Ausnutzen Outlook Regeln.

Durch Einfügen von benutzerdefinierten Formularen in Outlook.

Das erneute Installieren Outlook oder sogar das Bereitstellen eines neuen Computers für die betroffene Person hilft nicht. Wenn die Neuinstallation von Outlook eine Verbindung mit dem Postfach herstellt, werden alle Regeln und Formulare aus der Cloud synchronisiert. Die Regeln oder Formulare sind in der Regel darauf ausgelegt, Remotecode auszuführen und Schadsoftware auf dem lokalen Computer zu installieren. Die Schadsoftware stiehlt Anmeldeinformationen oder führt andere illegale Aktivitäten aus.

Die gute Nachricht ist: Wenn Sie Ihre Outlook Clients auf die neueste Version gepatcht lassen, sind Sie nicht anfällig für die Bedrohung, da aktuelle Outlook Clientstandards beide Mechanismen blockieren.

Die Angriffe folgen in der Regel den folgenden Mustern:

Der Regel-Exploit:

Der Angreifer stiehlt die Anmeldeinformationen eines Benutzers. Der Angreifer meldet sich beim Exchange Postfach dieses Benutzers an (Exchange Online oder lokale Exchange). Der Angreifer erstellt eine Posteingangsweiterleitungsregel im Postfach. Die Weiterleitungsregel wird ausgelöst, wenn das Postfach eine bestimmte Nachricht vom Angreifer empfängt, die den Bedingungen der Regel entspricht. Die Regelbedingungen und das Nachrichtenformat sind aufeinander zugeschnitten. Der Angreifer sendet die auslöser-E-Mail an das kompromittierte Postfach, das vom ahnungslosen Benutzer weiterhin normal verwendet wird. Wenn das Postfach eine Nachricht empfängt, die den Bedingungen der Regel entspricht, wird die Aktion der Regel angewendet. Normalerweise besteht die Regelaktion darin, eine Anwendung auf einem Remoteserver (WebDAV) zu starten. In der Regel installiert die Anwendung Schadsoftware auf dem Computer des Benutzers (z. B. PowerShell Empire). Die Schadsoftware ermöglicht es dem Angreifer, den Benutzernamen und das Kennwort des Benutzers oder andere Anmeldeinformationen vom lokalen Computer zu stehlen (oder erneut zu stehlen) und andere schädliche Aktivitäten auszuführen.

Der Exploit für Formulare:

Der Angreifer stiehlt die Anmeldeinformationen eines Benutzers. Der Angreifer meldet sich beim Exchange Postfach dieses Benutzers an (Exchange Online oder lokale Exchange). Der Angreifer fügt eine benutzerdefinierte E-Mail-Formularvorlage in das Postfach des Benutzers ein. Das benutzerdefinierte Formular wird ausgelöst, wenn das Postfach eine bestimmte Nachricht vom Angreifer empfängt, die erfordert, dass das Postfach das benutzerdefinierte Formular lädt. Das benutzerdefinierte Formular und das Nachrichtenformat sind füreinander maßgeschneidert. Der Angreifer sendet die auslöser-E-Mail an das kompromittierte Postfach, das vom ahnungslosen Benutzer weiterhin normal verwendet wird. Wenn das Postfach die Nachricht empfängt, lädt das Postfach das erforderliche Formular. Das Formular startet eine Anwendung auf einem Remoteserver (WebDAV). In der Regel installiert die Anwendung Schadsoftware auf dem Computer des Benutzers (z. B. PowerShell Empire). Die Schadsoftware ermöglicht es dem Angreifer, den Benutzernamen und das Kennwort des Benutzers oder andere Anmeldeinformationen vom lokalen Computer zu stehlen (oder erneut zu stehlen) und andere schädliche Aktivitäten auszuführen.

Wie kann ein Angriff auf die Einfügung von Regeln und benutzerdefinierten Formularen Office 365 aussehen?

Diese Persistenzmechanismen werden von Ihren Benutzern wahrscheinlich nicht bemerkt und können in einigen Fällen sogar für sie unsichtbar sein. In diesem Artikel erfahren Sie, wie Sie nach einem der sieben unten aufgeführten Anzeichen (Indikatoren für Kompromittierung) suchen. Wenn Sie eine dieser Schritte finden, müssen Sie Abhilfemaßnahmen ergreifen.

Indikatoren für die Kompromittierung der Regeln : Regelaktion ist das Starten einer Anwendung. Regel verweist auf eine EXE, ZIP oder URL. Suchen Sie auf dem lokalen Computer nach neuen Prozessstarts, die von der Outlook PID stammen.

Indikatoren für die Kompromittierung benutzerdefinierter Formulare : Benutzerdefinierte Formulare, die als eigene Nachrichtenklasse gespeichert sind. Die Nachrichtenklasse enthält ausführbaren Code. In der Regel werden böswillige Formulare in den Ordnern "Bibliothek für persönliche Formulare" oder "Posteingang" gespeichert. Das Formular heißt IPM. Hinweis. [benutzerdefinierter Name].

Schritte zum Auffinden von Anzeichen dieses Angriffs und zum Bestätigen dieses Angriffs

Sie können eine der folgenden Methoden verwenden, um den Angriff zu bestätigen:

Überprüfen Sie die Regeln und Formulare für jedes Postfach manuell mithilfe des Outlook-Clients. Diese Methode ist gründlich, Aber Sie können nur jeweils ein Postfach überprüfen. Diese Methode kann sehr zeitaufwändig sein, wenn Sie viele Benutzer überprüfen müssen, und möglicherweise auch den verwendeten Computer infizieren.

Verwenden Sie das Get-AllTenantRulesAndForms.ps1 PowerShell-Skript, um automatisch alle E-Mail-Weiterleitungsregeln und benutzerdefinierten Formulare für alle Benutzer in Ihrem Mandanten abzuweisen. Dies ist die schnellste und sicherste Methode mit dem geringsten Aufwand.

Bestätigen des Regelangriffs mithilfe des Outlook-Clients

Öffnen Sie die Benutzer Outlook Client als Benutzer. Möglicherweise benötigt der Benutzer Ihre Hilfe bei der Prüfung der Regeln für sein Postfach. Informationen zum Öffnen der Regelschnittstelle in Outlook finden Sie im Artikel "Verwalten von E-Mail-Nachrichten mithilfe von Regeln". Suchen Sie nach Regeln, die der Benutzer nicht erstellt hat, oder nach unerwarteten Regeln oder Regeln mit verdächtigen Namen. Suchen Sie in der Regelbeschreibung nach Regelaktionen, die gestartet und verwendet werden, oder verweisen Sie auf eine .EXE, .ZIP Datei oder zum Starten einer URL. Suchen Sie nach neuen Prozessen, die die Outlook Prozess-ID verwenden. Weitere Informationen finden Sie unter "Prozess-ID suchen".

Schritte zum Bestätigen des Forms-Angriffs mit dem Outlook-Client

Öffnen Sie den Benutzer Outlook Client als Benutzer. Führen Sie die Schritte unter "Anzeigen der Registerkarte "Entwicklertools" für die Version von Outlook des Benutzers aus. Öffnen Sie die jetzt sichtbare Entwicklerregisterkarte in Outlook, und klicken Sie auf "Formular entwerfen". Wählen Sie den Posteingang aus der Liste " Suchen in" aus. Suchen Sie nach benutzerdefinierten Formularen. Benutzerdefinierte Formulare sind selten genug, sodass sie, wenn Sie überhaupt benutzerdefinierte Formulare haben, einen tieferen Blick wert sind. Untersuchen Sie alle benutzerdefinierten Formulare, insbesondere solche, die als ausgeblendet markiert sind. Öffnen Sie benutzerdefinierte Formulare, und klicken Sie in der Gruppe "Formular**" auf "Code anzeigen"**, um zu sehen, was beim Laden des Formulars ausgeführt wird.

Schritte zum Bestätigen des Regel- und Formularangriffs mithilfe von PowerShell

Die einfachste Möglichkeit zum Überprüfen eines Regel- oder benutzerdefinierten Formularangriffs besteht darin, das Get-AllTenantRulesAndForms.ps1 PowerShell-Skript auszuführen. Dieses Skript stellt eine Verbindung zu jedem Postfach in Ihrem Mandanten her und stellt alle Regeln und Formulare in zwei Dateien ab.

Voraussetzungen

Sie benötigen globale Administratorrechte zum Ausführen des Skripts, da das Skript eine Verbindung mit jedem Postfach im Mandanten herstellt, um die Regeln und Formulare zu lesen.

Melden Sie sich bei dem Computer an, auf dem Sie das Skript ausführen möchten, mit lokalen Administratorrechten. Laden Sie das Get-AllTenantRulesAndForms.ps1 Skript aus GitHub herunter, oder kopieren Sie es in einen Ordner, aus dem Sie es ausführen. Das Skript erstellt zwei Dateien mit Datumsstempel in diesem Ordner, und Öffnen Sie eine PowerShell-Instanz als Administrator, und öffnen Sie den Ordner, in dem Sie das Skript gespeichert haben. Führen Sie diese PowerShell-Befehlszeile wie folgt .Get-AllTenantRulesAndForms.ps1 aus. Get-AllTenantRulesAndForms.ps1

Interpretieren der Ausgabe

: Überprüfen Sie die Regeln (eine pro Zeile) auf Aktionsbedingungen, die Anwendungen oder ausführbare Dateien enthalten: ActionType (Spalte A): Wenn der Wert "ID_ACTION_CUSTOM" angezeigt wird, ist die Regel wahrscheinlich bösartig. IsPotentiallyMalicious (Spalte D): Wenn dieser Wert "TRUE" ist, ist die Regel wahrscheinlich bösartig. ActionCommand (Spalte G): Wenn in dieser Spalte eine Anwendung oder eine Datei mit oder .zip-Erweiterungen oder ein unbekannter Eintrag aufgeführt wird, der auf eine URL verweist, ist die Regel wahrscheinlich bösartig.

Im Allgemeinen ist die Verwendung von benutzerdefinierten Formularen selten. Wenn sie in dieser Arbeitsmappe gefunden werden, öffnen Sie das Postfach dieses Benutzers und untersuchen das Formular selbst. Wenn Ihre Organisation sie nicht absichtlich dort platziert hat, ist dies wahrscheinlich bösartig.

So beenden und beheben Sie den Angriff Outlook Regeln und Formulare

Wenn Sie Hinweise auf einen dieser Angriffe finden, ist die Behebung einfach, löschen Sie einfach die Regel oder das Formular aus dem Postfach. Sie können dies mit dem Outlook-Client oder mithilfe von Remote-PowerShell tun, um Regeln zu entfernen.

Verwenden von Outlook

Identifizieren Sie alle Geräte, die der Benutzer mit Outlook verwendet hat. Sie alle müssen von potenzieller Schadsoftware bereinigt werden. Erlauben Sie dem Benutzer nicht, sich anzumelden und E-Mails zu verwenden, bis alle Geräte bereinigt wurden. Führen Sie die Schritte unter Löschen einer Regel für jedes Gerät aus. Wenn Sie sich nicht sicher sind, ob andere Schadsoftware vorhanden ist, können Sie die gesamte Software auf dem Gerät formatieren und erneut installieren. Bei mobilen Geräten können Sie die Schritte des Herstellers ausführen, um das Gerät auf das Werksimage zurückzusetzen. Installieren Sie die aktuellsten Versionen von Outlook. Denken Sie daran, dass die aktuelle Version von Outlook beide Arten dieses Angriffs standardmäßig blockiert. Nachdem alle Offlinekopien des Postfachs entfernt wurden, setzen Sie das Kennwort des Benutzers zurück (verwenden Sie ein hochwertiges Kennwort), und führen Sie die Schritte im Einrichten der mehrstufigen Authentifizierung für Benutzer aus, wenn MFA noch nicht aktiviert wurde. Dadurch wird sichergestellt, dass die Anmeldeinformationen des Benutzers nicht auf andere Weise verfügbar gemacht werden (z. B. Phishing oder kennwortbasierte Wiederverwendung).

Verwendung von PowerShell

Es gibt zwei Remote-PowerShell-Cmdlets, mit denen Sie gefährliche Regeln entfernen oder deaktivieren können. Führen Sie einfach die Schritte aus.

Schritte für Postfächer, die sich auf einem Exchange-Server befinden

Verbinden mithilfe von Remote-PowerShell an den Exchange-Server. Führen Sie die Schritte in Verbinden zum Exchange von Servern mithilfe von Remote-PowerShell aus. Wenn Sie eine einzelne Regel, mehrere Regeln oder alle Regeln aus einem Postfach vollständig entfernen möchten, verwenden Sie das Cmdlet Remove-InboxRule . Wenn Sie die Regel und deren Inhalt für weitere Untersuchungen beibehalten möchten, verwenden Sie das Cmdlet Disable-InboxRule .

Schritte für Postfächer in Exchange Online

Führen Sie die Schritte in Verbinden aus, um powerShell zu Exchange Online. Wenn Sie eine einzelne Regel, mehrere Regeln oder alle Regeln aus einem Postfach vollständig entfernen möchten, verwenden Sie das Cmdlet "Posteingangsregel entfernen ". Wenn Sie die Regel und deren Inhalt für weitere Untersuchungen beibehalten möchten, verwenden Sie das Cmdlet Disable-InboxRule .

So minimieren Sie zukünftige Angriffe

Erstens: Schützen Ihrer Konten

Die Regel- und Formular-Exploits werden von einem Angreifer nur verwendet, nachdem er eines der Konten Ihres Benutzers gestohlen oder verletzt hat. Ihr erster Schritt, um die Verwendung dieser Exploits gegen Ihre Organisation zu verhindern, besteht also darin, Ihre Benutzerkonten aggressiv zu schützen. Einige der am häufigsten verwendeten Arten, wie Konten verletzt werden, sind Phishing- oder Kennwort-Spray-Angriffe.

Die beste Möglichkeit zum Schutz Ihrer Benutzerkonten und insbesondere Ihrer Administratorkonten besteht darin, die mehrstufige Authentifizierung für Benutzer einzurichten. Außerdem sollten Sie Folgendes tun:

Überwachen Sie, wie auf Ihre Benutzerkonten zugegriffen und verwendet wird. Sie können die anfängliche Verletzung möglicherweise nicht verhindern, aber Sie werden die Dauer und die Auswirkungen der Verletzung verkürzen, indem Sie sie früher erkennen. Sie können diese Office 365 Cloud App Security-Richtlinien verwenden, um Ihre Konten zu überwachen und bei ungewöhnlichen Aktivitäten zu warnen: Mehrere fehlgeschlagene Anmeldeversuche : Diese Richtlinie profilet Ihre Umgebung und löst Warnungen aus, wenn Benutzer mehrere fehlgeschlagene Anmeldeaktivitäten in einer einzigen Sitzung in Bezug auf die gelernte Basislinie ausführen, die auf eine versuchte Verletzung hinweisen könnte. Unmögliche Reisen : Diese Richtlinie profilet Ihre Umgebung und löst Warnungen aus, wenn Aktivitäten vom gleichen Benutzer an verschiedenen Orten innerhalb eines Zeitraums erkannt werden, der kürzer als die erwartete Reisezeit zwischen den beiden Standorten ist. Dies könnte darauf hindeuten, dass ein anderer Benutzer die gleichen Anmeldeinformationen verwendet. Das Erkennen dieses anomalen Verhaltens erfordert einen anfänglichen Lernzeitraum von sieben Tagen, in dem das Aktivitätsmuster eines neuen Benutzers gelernt wird. Ungewöhnliche imitierte Aktivität (nach Benutzer): Diese Richtlinie profilet Ihre Umgebung und löst Warnungen aus, wenn Benutzer mehrere imitierte Aktivitäten in einer einzigen Sitzung in Bezug auf den gelernten Basisplan ausführen, was auf eine versuchte Verletzung hinweisen könnte.

Verwenden Sie ein Tool wie Office 365 Sicherheitsbewertung, um Kontosicherheitskonfigurationen und -verhalten zu verwalten.

Zweitens: Halten Sie Ihre Outlook-Clients auf dem neuesten Stand

Vollständig aktualisierte und gepatchte Versionen von Outlook 2013 und 2016 deaktivieren standardmäßig die Regel-/Formularaktion "Anwendung starten". Dadurch wird sichergestellt, dass die Regel- und Formularaktionen blockiert werden, selbst wenn ein Angreifer gegen das Konto verstößt. Sie können die neuesten Updates und Sicherheitspatches installieren, indem Sie die Schritte unter "Installieren Office Updates" ausführen.

Hier sind die Patchversionen für Ihre Outlook 2013- und 2016-Clients:

Outlook 2016 : 16.0.4534.1001 oder höher.

Outlook 2013: 15.0.4937.1000 oder höher.

Weitere Informationen zu den einzelnen Sicherheitspatches finden Sie unter:

Drittens: Überwachen Ihrer Outlook Clients

Beachten Sie, dass es einem Angreifer auch bei installierten Patches und Updates möglich ist, die Konfiguration des lokalen Computers zu ändern, um das Verhalten "Anwendung starten" erneut zu aktivieren. Sie können advanced Gruppenrichtlinie Management verwenden, um richtlinien für lokale Computer auf Ihren Clients zu überwachen und durchzusetzen.

Sie können feststellen, ob "Anwendung starten" durch eine Außerkraftsetzung in der Registrierung erneut aktiviert wurde, indem Sie die Informationen unter "Anzeigen der Systemregistrierung mithilfe von 64-Bit-Versionen von Windows" verwenden. Überprüfen Sie die folgenden Unterschlüssel:

Outlook 2016 : HKEY_CURRENT_USERSoftwareMicrosoftOffice16.0OutlookSecurity

Outlook 2013: HKEY_CURRENT_USERSoftwareMicrosoftOffice15.0OutlookSecurity

Suchen Sie nach dem Schlüssel "EnableUnsafeClientMailRules". Wenn er vorhanden ist und auf 1 festgelegt ist, wurde der Outlook Sicherheitspatch außer Kraft gesetzt, und der Computer ist anfällig für den Formular-/Regelangriff. Wenn der Wert 0 ist, ist die Aktion "Anwendung starten" deaktiviert. Wenn die aktualisierte und gepatchte Version von Outlook installiert ist und dieser Registrierungsschlüssel nicht vorhanden ist, ist ein System nicht anfällig für diese Angriffe.

Kunden mit lokalen Exchange-Installationen sollten erwägen, ältere Versionen von Outlook zu blockieren, für die keine Patches verfügbar sind. Details zu diesem Prozess finden Sie im Artikel Konfigurieren Outlook Clientblockierung.

Sichern von Microsoft 365 wie ein Profi für Internetsicherheit

Ihr Microsoft 365-Abonnement bietet eine Reihe von leistungsfähigen Funktionen für Sicherheit, die Sie zum Schutz Ihrer Daten und Ihrer Benutzer verwenden können. Verwenden Sie die Microsoft 365-Sicherheits-Roadmap: Top-Prioritäten für die ersten 30 Tage, 90 Tage und darüber hinaus zum Implementieren von empfohlenen Microsoft-Best-Practices für den Schutz Ihres Microsoft 365-Mandanten.

Aufgaben, die in den ersten 30 Tagen ausgeführt werden sollten. Diese haben sofortige Auswirkungen und haben geringe Auswirkungen auf Ihre Benutzer.

Aufgaben, die innerhalb von 90 Tagen ausgeführt werden sollten. Diese erfordern etwas mehr Zeit für Planung und Implementierung, stärken die Sicherheit Ihres Unternehmens jedoch erheblich.

Nach 90 Tagen. Diese Verbesserungen werden in den ersten 90 Tagen Ihrer Arbeit umgesetzt.

Siehe auch:

Tracey is the Contributing Editor for Foodies100, Tots100, Hibs100 and Trips100. She also blogs at PackThePJs. Tracey writes mainly about family travel; from days out to road trips with her pet dogs, to cruises and long-haul tropical destinations. Her family consists of her husband Huw, a medical writer, Millie-Mae (14), Toby (12) and Izzy and Jack the spaniels