image

VS waarschuwt voor grotere risico's door macro-malware

vrijdag 10 juni 2016, 10:04 door Redactie, 7 reacties

Het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT) heeft een waarschuwing voor macro-malware afgegeven. Volgens de overheidsinstantie is er een toename van malware die zich via macro's in Office-documenten verspreidt.

Zowel thuisgebruikers als bedrijven worden dan ook opgeroepen om hun systemen proactief tegen macro-malware te beschermen. Hiervoor wijst het US-CERT, dat onderdeel van het ministerie van Homeland Security is, naar een document van het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Daarin wordt gesteld dat macro's het leven van cybercriminelen eenvoudiger hebben gemaakt. Niet alleen hoeven ze niet meer naar kwetsbaarheden in software te zoeken om systemen met malware te infecteren, macro's werken ook op de meeste systemen.

Macro's staan standaard in Office uitgeschakeld. Gebruikers kunnen ze echter via een enkele muisklik inschakelen. Daarnaast maken sommige organisaties regelmatig gebruik van macro's en schakelen ze vervolgens standaard in. Toch moet erin deze situaties worden afgevraagd bij wie er binnen de onderneming macro's echt moeten staan ingeschakeld. Vervolgens moet worden beoordeeld voor welke Office-programma's deze gebruikers macro's nodig hebben, aldus het CERT/CC.

De organisatie adviseert om macro's voor een zo groot mogelijk deel binnen de organisatie uit te schakelen en alleen voor een klein deel die het echt nodig heeft in te schakelen. Daarnaast kan het gebruik van gesigneerde macro's de kans op een succesvolle aanval verkleinen.

Reacties (7)
10-06-2016, 12:16 door Anoniem
Op veel punten kul...

Al vaker heb ik uiteindelijk op jaarbasis en met een verloop over jaren gegevens tegenover elkaar gezet over de hoeveelheid macro-malware/virii, en het is simpelweg een sinusbeweging...
Doordat er een sinusoïde is, is er zeker géén groter risico. Dit risico is enkel ontstaan doordat de afnamen van een bepaalde schadelijke macro wordt beschouwd als een einde van iets dat steeds wederkeert.

Het daadwerkelijke risico zit hem in de laatste paragraaf van dit artikel; de pure gemakszucht.
Er is géén één geldig excuus om macro's en-default aan te hebben staan, het is namelijk het GEHELE risico! Als een gebruiker niet kundig genoeg is om te kunnen controleren of een macro schadelijk is, zou die helaas macro's niet in moeten kunnen schakelen.
Als we dan kijken naar de hoeveelheid gebruikers die op basis daarvan vervolgens een probleem hebben; komen we tot de kern van het probleem... niet dat de risico's van macro's groter worden, maar gebruikers steeds vaker ongecontroleerde (en veelal externe!) code uitvoeren "want gemak". Compleet vergetende dat ze alle bijbehorende competenties (en dus het investeren van tijd om kundig te zijn met die tools) niet opgepakt hebben, "want gemak"...

Elk gemak kent een ongemak mensen, leer dat eens, en knoop dat goed in de oren...
10-06-2016, 14:43 door Anoniem
Wat veel mensen vergeten is dat veel (grote) bedrijven van macro's aan elkaar hangen. Vaak zijn deze conplexe Excel sheets opgetuigd omdat de IT afdeling iets niet kon/wou/geen tijd had om het proces met een juiste tool van handvaten te voorzien. Schakel je dus macro's uit, dan kunnen hele afdelingen simpelweg hun werk niet meer doen.
10-06-2016, 15:04 door Anoniem
Simpel?

Als je office pakket niet naar buiten kan bellen kunnen de meest gevaarlijke macro's vermoedelijk weinig.

Ergo, blokkeer internettoegang voor dat office pakket en haal desgewenst je updates handmatig binnen.
10-06-2016, 16:36 door karma4
Door Anoniem: Wat veel mensen vergeten is dat veel (grote) bedrijven van macro's aan elkaar hangen. Vaak zijn deze conplexe Excel sheets opgetuigd omdat de IT afdeling iets niet kon/wou/geen tijd had om het proces met een juiste tool van handvaten te voorzien. Schakel je dus macro's uit, dan kunnen hele afdelingen simpelweg hun werk niet meer doen.
Eens dat moet dan structureel opgelost worden door betere ict services. Op de kortere termijn kun je het vrije Internet toegang inperken door whitelisting en mail door zcanners heen halen. Bepaalde typen bijlagen daar verbieden.
10-06-2016, 17:34 door Anoniem
Door Anoniem: Wat veel mensen vergeten is dat veel (grote) bedrijven van macro's aan elkaar hangen. Vaak zijn deze conplexe Excel sheets opgetuigd omdat de IT afdeling iets niet kon/wou/geen tijd had om het proces met een juiste tool van handvaten te voorzien. Schakel je dus macro's uit, dan kunnen hele afdelingen simpelweg hun werk niet meer doen.

Dat is geen reden tot het behouden van de situatie... In-tegendeel!
Er wordt wel genoemd dat er Excel-sheets opgetuigd zijn omdat de IT-afdeling iets "niet kon/wou/geen tijd had", maar dat is ook hoofdzakelijk de laatste factor...

[Azijnpis-mode aan]
IT is een relatief ondergeschoven kindje zelfs bij de bedrijven die je daar noemt, terwijl bedrijven die "zo afhankelijk zijn van macro's" in feite een redelijke hoeveelheid (in feite) half-competente administratiewerknemers kan ontslaan in ruil voor een stel mensen die graag kaas eten van data-management.
En dan begin ik niet eens over het feit dat ALS die werkzaamheden dan zo belangrijk zijn dat daarmee het halve bedrijf aan elkaar zou hangen, daar ook een sensible maintenance-team achter hangt, in plaats van eindgebruikers... Als je die werkzaamheden écht belangrijk vindt en niet doet alsof.

Als je dat anders doet, ja , dan beland je inderdaad in een oerwoud van Macro's, en je zal met wat gedegen onderzoek er achter komen dat minstens (!) de helft nergens op slaat anders dan dat nooit de tijd genomen is na te denken over een daadwerkelijk adequate oplossing.
[Azijnpis-mode off]

Voorbeelden van Macro's die door IT opgepakt hadden moeten worden:
Een excel-file dat XXX andere excell-files opent met op datum gesorteerde transacties en die ze allemaal opsomt per-dag. (Had een transactie-systeem moeten wezen, dan had die optelsom in de backend meteen plaatsgevonden)
Een excell-file dat met behulp van draaitabellen tussen andere tabbladen navigeert en cellen uit andere excell-file manipuleert (Had een relationele database mogen zijn)
etc. etc.

En het meest trieste is;
Voor grofweg 90% van de gevallen waar een excell-macro ingezet wordt die niet daadwerkelijk 100% nodig is, had een databasesysteem ontworpen moeten worden... Niet alleen zodat je voor elke minieme unieke manipulatie weer een aparte spreadsheet mag maken, maar ook m.b.t. dingen als performance, en reliability.
(Je wilt niet weten hoe vaak mensen "backlogs" proberen bij te houden in een Excell, en na één tot drie jaar wenend terugkomen omdat hun excelletje van 180-300MB crasht on-load...)
11-06-2016, 09:10 door Anoniem
Door Anoniem: Simpel?

Als je office pakket niet naar buiten kan bellen kunnen de meest gevaarlijke macro's vermoedelijk weinig.

Ergo, blokkeer internettoegang voor dat office pakket en haal desgewenst je updates handmatig binnen.

Of het officepakket naar buiten kan is volledig irrelevant. Het zou pas schelen als de gebruiker niet naar het internet kan maar dan nog zou dat er alleen maar voor zorgen dat je geen verbindingen op kunt zetten naar buiten. Je zou dan nog steeds schade kunnen ondervinden van een destructieve macro.
11-06-2016, 20:38 door Anoniem
Door Anoniem:
Door Anoniem: Simpel?

Als je office pakket niet naar buiten kan bellen kunnen de meest gevaarlijke macro's vermoedelijk weinig.

Ergo, blokkeer internettoegang voor dat office pakket en haal desgewenst je updates handmatig binnen.

Of het officepakket naar buiten kan is volledig irrelevant.

Wat een stelligheid, onderbouw dat eens.
Wat je leest en hoort is dat foute macro's niet zelden extra aanvullende malware code binnenhalen.
Zonder die aanvullende malware code werkt die uiteindelijke besmetting en uitvoer van foute code dus niet.

De veronderstelling bestaat (mijn) dat die aanvullende code binnen en door het office pakket zelf in opdracht van die macro wordt binnengehaald in plaats van dat het nog een keer apart door een ander programma wordt binnengehaald.
Wat ik best wil aannemen maar bewijs het dan ook.

Volgens de gedachte dat de aanvullende malware binnen en door office zelf online naar binnen wordt geharkt is het dus buitengewoon relevant office niet maar de rechten te geven onbelemmerd contact te laten maken met het internet.
Dat zal vermoedelijk dus al een hele hoop schelen.

Dus in plaats van iets weg te vegen en zwart wit te trekken graag onderbouwen
(wat je vermoedelijk niet kan en ook niet gaat doen omdat dingen onzin en irrelevant noemen zonder overtuigend te onderbouwen veel makkelijker is, maar dat terzijde).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.