Microsoft waarschuwt voor e-mails met JavaScript-bijlagen
Microsoft heeft een waarschuwing afgegeven voor spamberichten die een JavaScript-bestand als bijlage bevatten en de computer met malware proberen te infecteren, waaronder de Locky-ransomware. De JavaScript-bijlagen zitten weer verpakt in een rar- of zip-bestand, zegt Alden Pornasdoro van Microsoft.
Naast JavaScript-bestanden gebruiken internetcriminelen ook nog Office-documenten met kwaadaardige macro's om ransomware te verspreiden. Volgens Microsoft kan een computer via een JavaScript-bestand sneller worden besmet. "Het is interessant om op te merken dat een Office-bijlage met kwaadaardige macro's meestal twee of meer klikken vereist om het document te openen. Eén klik voor het document en een andere klik om de macro in te schakelen. Aan de andere kant vereist de JavaScript-bijlage slechts één of twee klikken om te worden uitgevoerd", merkt Pornasdoro op.
Hij stelt verder dat het zeer bijzonder is voor mensen om JavaScript-bestanden als bijlage te versturen. Wie een dergelijk bestand ontvangt moet die dan ook niet openen. Tevens adviseert Pornasdoro aan organisaties om AppLocker in te schakelen zodat dubieuze software niet kan worden uitgevoerd. Daarnaast wordt beheerders aangeraden om macro's in Office-programma's uit te schakelen.
Update
Het Finse F-Secure heeft advies gegeven hoe de Windows Script Host kan worden uitgeschakeld, zodat JavaScript-bestanden niet meer zijn te openen.
De meeste eindgebruikers hebben geen idee waar de man het over heeft. Op relevante systeemontwikkelaars als Microsoft rust de (dure) plicht te zorgen dat hun programmatuur enige mate van bescherming biedt en wanneer de eindgebruiker moet besluiten over het openen van een bestand, deze op behoorlijke wijze informeren - en omdat het bij MS in de regel om closed source software gaat, rust die plicht dan exclusief op hen.
Dat betekent dat meldingen aan gebruikers begrijpelijk en zinnig moeten zijn. MS excelleert in meldingen met (automatische?) vertalingen die abra cadabra opleveren, keuzeomschrijvingen die met de beste wil, ook voor redelijk geïnformeerde gebruikers, niet duidelijk weten te maken wat de keuze dan is, enz. enz. enz. Voor een bedrijf dat al tientallen jaren meer dan 85% marge heeft op haar producten is de kwaliteit en de afwerking a bloody shame. Of het is dat de gebruikers zo inert en dociel zijn dat ze dit pikken.
Oef, ik heb gezegd.
De meeste eindgebruikers hebben geen idee waar de man het over heeft. Op relevante systeemontwikkelaars als Microsoft rust de (dure) plicht te zorgen dat hun programmatuur enige mate van bescherming biedt en wanneer de eindgebruiker moet besluiten over het openen van een bestand, deze op behoorlijke wijze informeren - en omdat het bij MS in de regel om closed source software gaat, rust die plicht dan exclusief op hen.
Dat betekent dat meldingen aan gebruikers begrijpelijk en zinnig moeten zijn. MS excelleert in meldingen met (automatische?) vertalingen die abra cadabra opleveren, keuzeomschrijvingen die met de beste wil, ook voor redelijk geïnformeerde gebruikers, niet duidelijk weten te maken wat de keuze dan is, enz. enz. enz. Voor een bedrijf dat al tientallen jaren meer dan 85% marge heeft op haar producten is de kwaliteit en de afwerking a bloody shame. Of het is dat de gebruikers zo inert en dociel zijn dat ze dit pikken.
Oef, ik heb gezegd.
Je kan Microsoft nu afvallen, maar het grootste probleem zit hem bij de gebruikers. Die openen ook gewoon alles, en maakt niet uit hoe het er uit ziet. Link in een vreemde Email, gewoon openen, en de download openen. Immers dat beschreef de Email toch.
Waarom je op je zakelijke Email account, dan in eens een Email ontving van Ziggo, is even een tweede.
Het maakt niet uit welk OS's je hiervoor neerzet, eindgebruikers weten altijd problemen er mee te veroorzaken.
Dus OpenSource, Closed Source maakt hierin helemaal niet uit. En de laatste tijd laat het ook zien, dat dit ook niet echt uitmaakt. Beide type sources bevat grote fouten die niemand ziet.
De meeste eindgebruikers hebben geen idee waar de man het over heeft. Op relevante systeemontwikkelaars als Microsoft rust de (dure) plicht te zorgen dat hun programmatuur enige mate van bescherming biedt en wanneer de eindgebruiker moet besluiten over het openen van een bestand, deze op behoorlijke wijze informeren - en omdat het bij MS in de regel om closed source software gaat, rust die plicht dan exclusief op hen.
Dat betekent dat meldingen aan gebruikers begrijpelijk en zinnig moeten zijn. MS excelleert in meldingen met (automatische?) vertalingen die abra cadabra opleveren, keuzeomschrijvingen die met de beste wil, ook voor redelijk geïnformeerde gebruikers, niet duidelijk weten te maken wat de keuze dan is, enz. enz. enz. Voor een bedrijf dat al tientallen jaren meer dan 85% marge heeft op haar producten is de kwaliteit en de afwerking a bloody shame. Of het is dat de gebruikers zo inert en dociel zijn dat ze dit pikken.
Oef, ik heb gezegd.
Uhhh, sorry maar:
- Een bijlage openen met zip/rar van onbekende afkomst.
- Daarna ook nog eens een .JS extentie starten...
Denk dat problem ook grotendeels bij de gebruiker ligt...
Welk OS je ook hebt, als je zomaar bestanden opent kan je altijd problemen veroorzaken.
Ik vind het juist wel prettig dat als ik op een .js file klik, mijn code editor geopend wordt, een niet een andere willekeurige tekstverwerker.
Overigens zijn die instellingen op mijn PC nog ongewijzigd sinds 05-02-2016:
.js=JSFile
C:\>ftype jsfile
jsfile=C:\Windows\System32\Notepad.exe %1
Nb. voordat ik op 05-02-2016 het register wijzigde, luidde de output van dat laatste commando als volgt:
Dat is minder ingrijpend dan het volledig uitschakelen van de Windows Scripting Host (wscript.exe) zoals F-Secure voorstelt in [4].
Daarmee bedoel ik dat het geheel uistchakelen van wscript impact zou kunnen hebben op ingebouwde Windows functionaliteit, maar anderzijds verhindert mijn tip natuurlijk niet het uitvoeren van andere door wscript geïnterpreteerde bestanden (met extensies zoals .jse, .vbe, .wsf, en .wsh). Ik vermoed dat de tip van F-Secure het starten van c:\windows\system32\wscript.exe wel zal verhinderen, maar of die maatregel ook het starten van het broertje van wscript.exe, nl. c:\windows\system32\cscript.exe, weet te voorkomen, weet ik niet (het verschil tussen die 2 ken ik ook niet goed, en mijn tip schakelt cscript.exe ook niet uit).
[2] https://www.security.nl/posting/427538/Australi%C3%83%C2%AB+waarschuwt+voor+cv%27s+met+ransomware
[3] https://isc.sans.edu/forums/diary/A+trip+through+the+spam+filters+more+malspam+with+zip+attachments+containing+js+files/20697/
[4] https://labsblog.f-secure.com/2016/04/19/how-to-disable-windows-script-host/
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
