# T1137.004 - Outlook Home Page ## Técnica Pai Esta é uma sub-técnica de [[t1137-office-application-startup|T1137 - T1137 - Office Application Startup]]. ## Descrição Adversários abusam do recurso **Outlook Home Page** - uma funcionalidade legada do Microsoft Outlook - para estabelecer persistência em sistemas comprometidos. Essa sub-técnica é filha de [[t1137-office-application-startup|T1137 - Inicialização de Aplicativo Office]] e se distingue por explorar específicamente o mecanismo de carregamento de páginas HTML em pastas do Outlook. O recurso Outlook Home Page foi criado para personalizar a visualização de pastas do cliente de e-mail, permitindo que uma URL interna ou externa sejá carregada e renderizada dentro da interface do Outlook toda vez que determinada pasta é aberta. Por design, o Outlook confia nessa página e a renderiza em um contexto privilegiado. Um adversário que já tenha comprometido o sistema ou a caixa de correio do usuário pode configurar essa URL para apontar para uma página HTML maliciosa hospedada localmente ou em servidor remoto controlado pelo atacante. A URL maliciosa é armazenada na chave de registro: ``` HKCU\Software\Microsoft\Office\<versão>\Outlook\WebView\<pasta> ``` Onde `<pasta>` pode ser `Inbox`, `Calendar`, `Contacts` ou outra pasta padrão do Outlook. Quando o Outlook é iniciado ou quando a pasta comprometida é selecionada pelo usuário, a página HTML maliciosa é carregada e executada automaticamente - sem qualquer interação explícita além da abertura do cliente de e-mail. O código malicioso embutido na página HTML pode usar **VBScript** ou **JScript** para executar comandos arbitrários no sistema, baixar payloads adicionais, ou estabelecer comunicação com infraestrutura de [[t1095-non-application-layer-protocol|C2]]. A persistência é garantida porque a chave de registro sobrevive a reinicializações e a maioria das soluções de segurança tradicionais não inspeciona esse vetor. O grupo [[g0049-oilrig|OilRig]] (também rastreado como [[g0049-oilrig|APT34]]) é o principal ator documentado no uso desta técnica em campanhas de espionagem direcionadas ao Oriente Médio, com possível alcance a organizações parceiras em outras regiões. ## Contexto Brasil/LATAM No Brasil e na América Latina, o Microsoft Outlook é amplamente utilizado em setores corporativos e governamentais - especialmente em organizações do setor de [[energy|energia]], [[government|governo federal]] e [[financial|financeiro]] que ainda operam com versões legadas do Office 2013 e 2016. Esse parque instalado desatualizado cria uma jánela de exposição significativa para esta técnica, uma vez que as versões mais antigas do Outlook não contam com a desativação padrão do recurso Home Page introduzida pela Microsoft em 2019. Em operações de espionagem com foco em organizações da LATAM - incluindo entidades governamentais e empresas de energia do México, Brasil e Argentina - grupos com motivação de Estado têm utilizado vetores de e-mail para comprometimento inicial seguido de persistência via mecanismos de Office. Embora o [[g0049-oilrig|OilRig]] sejá o ator mais documentado com essa técnica, o padrão de uso de funcionalidades legadas do Outlook para estabelecer persistência silenciosa ressoa com campanhas observadas contra órgãos do [[government|governo brasileiro]], onde o ambiente Office raramente está na versão mais recente e o monitoramento de chaves de registro é limitado. A combinação desta técnica com [[t1566-phishing|T1566 - Phishing]] direcionado - incluindo spear-phishing em português com temas de conformidade fiscal (SEFAZ, Receita Federal) ou comúnicações do [[bacen|Banco Central]] - é um padrão recorrente em campanhas que visam comprometer caixas de e-mail corporativas brasileiras e estabelecer acesso persistente antes da exfiltração de dados sensíveis. ## Attack Flow ```mermaid graph TB A([Acesso ao sistema ou caixa de correio]) --> B[Modifica chave de registro WebView do Outlook] B --> C[URL maliciosa configurada para pasta Inbox ou Calendar] C --> D{Outlook iniciado pelo usuário} D --> E[Pasta comprometida selecionada] E --> F[Página HTML maliciosa carregada pelo Outlook] F --> G[Execução de VBScript ou JScript no contexto do Outlook] G --> H[Download de payload adicional] G --> I[Estabelece canal C2] H --> J([Persistência + Execução mantidas]) I --> J style A fill:#b91c1c,color:#fff style J fill:#15803d,color:#fff style F fill:#7c3aed,color:#fff ``` ## Detecção | Fonte de Dados | Evento a Monitorar | |---|---| | Windows Registry | Criação ou modificação de chaves sob `HKCU\Software\Microsoft\Office\*\Outlook\WebView\*` | | Process Creation | Processos filho gerados por `OUTLOOK.EXE` (ex: `cmd.exe`, `powershell.exe`, `wscript.exe`) | | Network | Conexões de saída originadas por `OUTLOOK.EXE` para URLs não relacionadas a serviços Microsoft | | Application Log | Erros ou eventos incomuns de carregamento de página web dentro do Outlook | A detecção mais eficaz combina monitoramento de registro com análise comportamental de processos filho do Outlook: qualquer processo que não sejá parte do ciclo normal de carregamento do cliente de e-mail deve ser investigado. ## Mitigação | ID | Mitigação | Aplicação | |---|---|---| | [[m1051-update-software\|M1051 - Updaté Software]] | Manter o Microsoft Outlook e o Office atualizado; versões recentes desabilitam o recurso Home Page por padrão | Windows | | [[m1040-behavior-prevention-on-endpoint\|M1040 - Behavior Prevention on Endpoint]] | Soluções EDR com regras de detecção comportamental para processos filho de Outlook e modificações de registro WebView | Windows | A Microsoft desabilitou o recurso Outlook Home Page em versões modernas do Outlook (Microsoft 365 e Outlook 2019+) como resposta à exploração desta técnica. Ambientes com versões legadas (Outlook 2016, 2013) permanecem vulneráveis se não atualizados. ## Threat Actors que Usam - [[g0049-oilrig|OilRig]] - grupo iraniano de espionagem que usou esta técnica como mecanismo de persistência em operações contra organizações governamentais e de energia no Oriente Médio - [[g0049-oilrig|APT34]] - denominação alternativa do mesmo cluster de atividade; documentado em relatórios da FireEye e Mandiant associando o uso de Ruler e Home Page exploitation ## Software Associado - [[s0358-ruler|Ruler]] - ferramenta de código aberto que automatiza a configuração maliciosa do Outlook Home Page via Exchange Web Services (EWS); usada tanto por red teams quanto por atores maliciosos --- *Fonte: MITRE ATT&CK - T1137.004 (v16.2)*