error, warning

Imødegå angrebet på Microsoft Office zero-day

Office-filer kan skade dit netværk, selvom du har implementeret Microsofts anbefalede handlinger.

Endnu en gang har hackere brugt Office-filer i målrettede angreb mod Microsoft-brugere. Denne gang brugte de indholdsruden i Windows Stifinder til at levere skadelige .doc-, .docm- og .docx-filer. Researchere har konstateret, at ondsindede .rtf filer også kan bruges til ondsindede angreb. Til det udformer en hacker et skadeligt ActiveX-objekt, der skal bruges af et Microsoft Office-dokument, der er vært for browsergengivelsesprogrammet.

Hackeren skal overbevise en bruger om at åbne det skadelige dokument. Så den første forsvarslinje vil være en uddannet bruger, der ikke blindt åbner uventede filer. Desuden giver Microsoft Defender Antivirus og Microsoft Defender for Endpoint både registrering og beskyttelse af den kendte sårbarhed. Antivirusværktøjer indeholder muligvis også allerede registreringer af denne udnyttelse.

Microsoft har udgivet CVE-2021-40444 for at spore sårbarheden. Selv når det er ordnet, skal man ikke lade paraderne falde. I stedet anbefales det at holde en nøglebeskyttelse, som sandsynligvis mange af os ikke gør, for at beskytte os mod ondsindede Office-filer, herunder dem der anvendes i denne mest aktuelle udnytte.

TIP TIL WINDOWS SIKKERHED

Sådan afhjælpes fjernkørsel af Microsoft MSHTML zero-day (5:46)

Regler for reduktion af overfladereduktion af Microsoft Defender-angreb

En sårbarhed analytiker på CERT / CC, Will Dorman, påpeger, at bruge Microsoft Defender’s Attack Surface Reduction (ASR) regler, som er en bedre langsigtet måde at beskytte mod sådanne angreb. Dette kan gøres på flere måder.

Du kan bruge Gruppepolitik til at konfigurere ASR-regler. Denne indstilling har været tilgængelig siden version 1709 af Windows 10. Udnyttelsen starter med en ActiveX CAB for at placere en DLL-fil på en kendt placering på det målrettede system. CPL URI bruges derefter til at køre koden. Microsofts afhjælpning fokuserer på at blokere ActiveX-filen, så den ikke kan kaldes til handling. Brug af ASR-regler beskytter ikke kun mod den nuværende udnyttelse, men for fremtidige lignende udnyttelser.

Hvis du vil aktivere indstillingen, skal du vælge i rækkefølge:

“Computerkonfiguration”

“Administrative skabeloner”

“Windows-komponenter”

“Microsoft Defender Antivirus”

“Microsoft Defender Exploit Guard”

“Reduktion af angrebsoverflade”

“Konfigurer regler for reduktion af angrebsoverflade” og sørg for, at værdien er angivet til “Aktiveret”

I tidligere versioner blev “Microsoft Defender antivirus” kaldt “Windows Defender antivirus”, så gruppepolitik skal muligvis opdateres for at spore det nye navn, selvom det gamle navn stadig fungerer.

ASR-funktioner er tilgængelige i Windows 10 Pro v1709 eller nyere, Windows 10 Enterprise v1709 eller nyere, Windows Server v1803 (Semi-Annual Channel) eller nyere og Windows Server 2019 eller nyere. Alle ASR-beskyttelser er tilgængelige i Windows 10 Professional, men flere rapporterings- og overvågningsfunktioner er tilgængelige i virksomheds-SKU’er.

Foretrækkes en mere målrettet beskyttelse og den Microsoft-specifikke vejledning, kan det gøres ved at de-aktivere installationen af alle ActiveX-objekter i Internet Explorer. Det kan gøres ved for alle websteder ved at konfigurere en gruppepolitik ved hjælp af den lokale gruppepolitikeditor eller ved at opdatere registreringsdatabasen. Naviger i denne rækkefølge i Gruppepolitik for at:

“Computerkonfiguration”

“Administrative skabeloner”

“Windows-komponenter”

“Internet Explorer”

“Internet Kontrolpanel”

“Sikkerhedsside”

Marker hver zone (Internetzone, Intranetzone, Lokal computerzone eller Zone websteder, du har tillid til), og dobbeltklik på “Hent signerede ActiveX-objekter, og aktivér politikken”. Angiv derefter indstillingen i politikken til “Deaktiver”. Dobbeltklik på “Hent ikke-signerede ActiveX-objekter, og aktivér politikken”. Angiv derefter indstillingen i politikken til “Deaktiver”.

Microsoft anbefaler, at man angiver dette for Internetzone, Intranetzone, Lokal computerzone og Zone for websteder, man har tillid til. Hvis der bruges ActiveX til interne funktioner, tillader dette, at tidligere installerede og installerede ActiveX-objekter stadig fungerer, men blokerer for, at nye ActiveX-objekter installeres og bruges i systemerne. Der kan også bruges registreringsdatabasenøgler til at deaktivere disse ActiveX-objekter.

Deaktiver indholdsruden i Windows Stifinder

Det anbefales også at deaktivere Shell Preview i Windows Stifinder.

Hvis du vil deaktivere både ActiveX- og Windows Stifinder-visningen af .doc-, .docm-, .docx- og .rtf-filer, skal du bruge følgende registreringsdatabasenøgle:

Windows Registreringseditor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Politikker\Microsoft\Windows\CurrentVersion\Internetindstillinger\Zoner\0]
“1001”=dword:00000003
“1004”=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Politikker\Microsoft\Windows\CurrentVersion\Internetindstillinger\Zoner\1]
“1001”=dword:00000003
“1004”=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Politikker\Microsoft\Windows\CurrentVersion\Internetindstillinger\Zoner\2]
“1001”=dword:00000003
“1004”=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Politikker\Microsoft\Windows\CurrentVersion\Internetindstillinger\Zoner\3]
“1001”=dword:00000003
“1004”=dword:00000003

[-HKEY_CLASSES_ROOT\.docx\ShellEx\{8895b1c6-b41f-4c1c-a562-0d564250836f}]

[-HKEY_CLASSES_ROOT\.doc\ShellEx\{8895b1c6-b41f-4c1c-a562-0d564250836f}]

[-HKEY_CLASSES_ROOT\.docm\ShellEx\{8895b1c6-b41f-4c1c-a562-0d564250836f}]

[-HKEY_CLASSES_ROOT\.rtf\ShellEx\{8895b1c6-b41f-4c1c-a562-0d564250836f}]

Brugen af “-” foran registreringsdatabasenøgler angiver, at registreringsdatabasefilen fjerner poster fra systemerne. Hvis du vil fortryde disse indstillinger, kan du bruge dette registreringsdatabasescript til at genfinde.

Når Microsoft har rettelse til dette, kan se om de-aktivering af indholdsrudens funktion er påvirket. Mange aktiverer allerede enten ikke indholdsruden i Outlook eller blokerer automatisk for, at Word-filer vises, før der klikkes på funktionen Aktiver indhold.

Har du brugere, der er klik-glade? Har du brugere, der kører med administrative rettigheder? Hvis svaret er ja, så er det klogere at bruge ASR-regler og holde dem på plads, selv efter at denne zero-day sårbarhed er patched.

Kilde: CSO online

Scroll til toppen