Microsoft luidt noodklok over macro-malware
Het vragen van internetgebruikers of ze macro's in Officedocumenten willen uitvoeren waardoor hun computer met malware besmet raakt is een zeer succesvolle methode voor cybercriminelen, aangezien de afgelopen maanden meer dan een half miljoen computers op deze manier geïnfecteerd werden.
De malware wordt verspreid via e-mails met onderwerpen over facturen, belastingen, verzendbevestigingen, C.V.'s en donatiebevestigingen. Onderwerpen die volgens Microsoft gebruikers eenvoudig kunnen misleiden om de e-mail en meegestuurde bijlage te openen zonder hierbij na te denken. Zodra de macro wordt uitgevoerd zal die een bestand downloaden, die vervolgens een Trojan downloader downloadt. Deze downloader installeert aanvullende malware op het systeem. De softwaregigant stelt dan ook de vraag hoe deze vorm van social engineering bestreden kan worden.
In het geval van bedrijven kunnen systeembeheerders verschillende maatregelen nemen. De meeste macro-malware bevindt zich namelijk in het .doc-formaat dat in Office 2007 en oudere versies wordt gebruikt. Systeembeheerders kunnen via het Trust Center van Office instellen dat documenten van oudere Officeversies niet worden geladen. Daarnaast kan de werking van macro's in Office worden geconfigureerd, bijvoorbeeld om alleen digitaal gesigneerde macro's toe te staan of alle macro's te blokkeren.
Voor de volledigheid: Gelukkig zijn er ook diverse moderne anti malware oplossingen die middels o.a. Sandboxtechnologie dit soort zaken voor de gebruikers kunnen afvangen.
Office blacklisten (of beter nog niet whitelisten) in je firewall zou wel eens heeeeel erg veel kunnen uitmaken.
Hef je het één keer per maand op voor je updates als je die nog binnen krijgt op je pakket.
(psssst, LibreOffice is gratis en kan je altijd updaten !)
HP labs heeft het al gebouwd voor XP en pas recent door HP van hun site verwijderd:
https://web.archive.org/web/20140724063340/http://www.hpl.hp.com/personal/Alan_Karp/polaris/index.html
Policies -> Administrative Templates -> Policy definitions (ADMX files)
Microsoft Access 2010/Application Settings/Security/Trust Center
VBA Macro Notification Settings - Enabled (Disable all with notification)
Microsoft Excel 2010/Excel Options/Security/Trust Center
VBA Macro Notification Settings - Enabled (Disable all with notification)
Microsoft Word 2010/Word Options/Security/Trust Center
VBA Macro Notification Settings - Enabled (Disable all with notification)
Daarna een groep gemaakt voor de enkeling die wel Macro's gebruikt en hier een uitzondering GPO voor gemaakt.
Werkt goed.
Macro functionaliteit zit ook in Libre Office.
Macro functionaliteit kan je in Libre Office ook beheren (beter van wel).
Kijk in de voorkeuren van Libre Office, vermoedelijk te vinden onder "Security" -> "Macro Security"
Heb je het "Security Level" en de "Trusted Sources".
Zet je het "Security Level" op "High" en laat je de velden onder "Trusted Sources" leeg dan komt er geen Macro doorheen.
Tenzij je het inschakelt natuurlijk.
En daar zit het gevaar, dat je in de smoes trapt (of gewoon blind klikt) om die macro wel in te schakelen.
Dat advies om .doc's van Office 2007 en ouder te blokkeren heeft natuurlijk een heel andere reden.
M$ ziet graag dat je overstapt op een nieuw MS-Office pakket!
Nog liever in de vorm van een maandelijks MS-abonnement!
Dan helpt het erg als gebruikers de hele tijd feedback krijgen in de vorm van,
"Kan niet openen. Kan je een docx-je sturen?".
"Lukt dat niet?
"O, dan moet je even een nieuwe Office kopen!"
Ka$$a!
Gratis LibreOffice is voor de meeste mensen goed genoeg.
Ze moeten er alleen even op gewezen worden.
Goed voorstel voor "hardening". Ga ik vanavond maar eens uitvoeren in de praktijk van mijn zussie.
Goed voorstel voor "hardening". Ga ik vanavond maar eens uitvoeren in de praktijk van mijn zussie.
De beste hardening: onderdompelen in een betonblok en afzinken. Geen computer gebruiken kun je ook niet gehackt worden. Beetje onzinning als je doorslaat. Het gaat er om een middenweg te vinden waar je met kosten/baten/gebruiksgemakt en risico tevreden bent. En er zal eens een keer wat fout gaan. herstel en opleiding is werk.
Tja dat werkt voor Office365 Click to Run in een niet server omgeving (2 PCtjes in een LAN) toch iets anders.
In mijn zoektocht toch wel aardige dingen tegengekomen zoals ADMX-templates voor o2013 en aanvullende
voor o365 c2r waarmee met name het updategedrag gestuurd kan worden. Dat laatste bevalt me wel, want ik
ben voor een kantooromgeving niet zo happig op al die automatische updates.
VBA Macro Notification Settings - Enabled (Disable all with notification)
De default die we eerste pushte is "Disable all with notification", hier mee behoud je dus de enable macro's knop in Office. En hou je dus gebruikers die hier op klikken (omdat in het document stond dat ik dat moest doen)
Onze nieuwe setting is dus "Disable all without notification"
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
