det0177-detect-persistence-via-outlook-home-page-exploitation

# DET0177 — Detect Persistence via Outlook Home Page Exploitation ## Descrição Esta estratégia detecta persistência via manipulação da funcionalidade "Home Page" de pastas do Outlook — mapeado em [[t1137-004-outlook-home-page|T1137.004 - Outlook Home Page]]. Adversários configuram uma URL maliciosa como Home Page de uma pasta do Outlook (normalmente a Inbox) via propriedade MAPI `PR_FOLDER_HOME_PAGE`; quando o usuário abre a pasta, o Outlook renderiza a URL embutida no processo `outlook.exe`, executando HTML/JavaScript malicioso com os privilégios do usuário. Os indicadores incluem modificações na propriedade MAPI `PR_FOLDER_HOME_PAGE` via Exchange EWS API ou ferramentas cliente (Outlook Object Model), acesso da processo `outlook.exe` a URLs HTTP/HTTPS incomuns durante abertura de pasta, e Registry keys em `HKCU\Software\Microsoft\Office\{version}\Outlook\WebView\Inbox\URL` contendo URLs externas. Auditoria de Exchange EWS, logs de proxy web e monitoramento de Registry são as fontes primárias. Bloquear a funcionalidade de Home Page de pastas via GPO (`DisableOutlookHomePage`) e monitorar qualquer tentativa de configuração via EWS/MAPI são as contramedidas mais eficazes. Alertar quando `outlook.exe` carrega URL não pertencente ao domínio corporativo é de alta fidelidade. ## Indicadores de Detecção - Registry key `HKCU\Software\Microsoft\Office\*\Outlook\WebView\*\URL` contendo URL externa - Chamada EWS `UpdateFolder` modificando propriedade `PR_FOLDER_HOME_PAGE` para URL HTTP - `outlook.exe` realizando requisição HTTP para URL não corporativa durante abertura de pasta - Propriedade de Home Page configurada em pasta diferente da Inbox (ex: Drafts, Sent Items) - Script ou tool acessando Outlook Object Model para modificar propriedade de Home Page de pasta ## Técnicas Relacionadas - [[t1137-004-outlook-home-page|T1137.004 - Outlook Home Page]] — técnica principal detectada - [[t1137-office-application-startup|T1137 - Office Application Startup]] — categoria pai - [[t1546-event-triggered-execution|T1546 - Event Triggered Execution]] — persistência baseada em evento do usuário - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] — comunicação C2 via HTTP após ativação ## Analytics Relacionadas - [[an0502-analytic-0502|AN0502 — Analytic 0502]] - [[an0503-analytic-0503|AN0503 — Analytic 0503]] --- *Fonte: [MITRE ATT&CK — DET0177](https://attack.mitre.org/detectionstrategies/DET0177)*