Ik neem aan Windows only? Security.nl jullie mogen in ruil voor de voorgeschotelde reclame best iets meer energie in een artikel stoppen, MS-Word is er b.v. ook voor MacOS en die is niet bevattelijk voor dit document.

Indien 'we' aan moeten nemen dat alle malware die hier over de toonbank komt voor Windows is dan is dat wel een vermelding waard.

Kantoorautomatisering gebaseerd op MS Windows en MS Office creëert een niet of slecht nauwelijks beheersbaar beveiligingsprobleem en dat is niet alleen omdat het (te) veel wordt gebruikt.

Welnee.
Als je bureaublad beheerstools als Res PowerFuse gebruikt plus goede policies kunnen dit soort dingen gewoon zo goed als niet gebeuren. Geen macro's, geen exe w/e opslaan of starten etc etc.

Het is in grote delen van de gevallen een geldzaak; ICT wordt overal weggesneden (bij ING zelf enkele duizenden in Nederland en Belgie) en is altijd een sluitpost. Extra beheerders en goede beveiligingstools "kosten alleen maar geld".
Blij dat ik daar weg ben :/

Grote onzin. Gewoon een kwestie van goed inrichten en of de juiste software. En duidelijke afspraken tussen de business en ICT.

Windows & Office kun je door middel van veel configuratieopties wel degelijk (via de 'echte' manier, niet allerlei hacks) goed hardenen waarmee dit soort zaken makkelijk kan worden voorkomen. Daarbij hoef je zeker niet altijd externe tools te gebruiken maar kun je veel bereiken met reguliere group policy objects en administrative templates.

Wel kun je je afvragen waarom die mogelijkheden er überhaupt in zitten, maar dat zal wel een doel hebben. Hoe dan ook zie ik niet helemaal hoe een alternatief (welk alternatief? LibreOffice op Linux?) een oplossing is. Daar geldt immers ook dat je continu aandacht moet blijven schenken aan security configuratie en patches.

Ja, maar de situatie is wel dat al die macro-mogelijkheden in de jaren '90 zijn geïntroduceerd vanuit een mentaliteit dat alles beter ging als je alles zoveel mogelijk met alles liet integreren, lees: door elkaar liet lopen. Dat je via allerlei instellingen en extra software dat weer in toom kan houden wil nog niet zeggen dat de uitgangspunten van het onderliggende ontwerp deugen.

Dat tegenwoordig documenten met en zonder macro's verschillende extensies hebben (.docm en .docx) is een verbetering, maar als ik het had mogen bedenken was er een ander onderscheid geweest:
• Documenten kunnen macro's bevatten, maar die hebben geen enkele mogelijkheid om buiten het document te treden. Geen toegang tot OLE/ActiveX/DLLs/whatever, geen toegang tot databases, tot het filesysteem, niets van dat alles. Een macro kan de inhoud van het document zelf benaderen maar daar houdt het mee op. De mogelijkheid tot meer is niet eens in het documentverwerkingsprogramma beschikbaar, zodat de kans op toegang ertoe via bugs geminimaliseerd wordt.
• Als er wel toegang tot zaken buiten het document nodig is kan dat door niet een script in een document in te bedden maar door een document in een script in te bedden. Je start dus een applicatie die bijvoorbeeld een Word-document of een Excel-sheet of beide bevat, of wellicht beide. De scripttaal kan dezelfde zijn als voor macro's wordt gebruikt, met dezelfde API's om documenten te benaderen, maar deze scripts zijn via extensie, MIME-type en 'magic number' aan een andere executable gekoppeld en worden zelf als executable aan de gebruiker gepresenteerd. De gekoppelde applicatie kan op zijn beurt Word of Excel laden (het omgekeerde kan niet) en biedt ook API's biedt om ActiveX te gebruiken, databases te koppelen, het filesysteem te benaderen etcetera.

Het effect van die opzet zou zijn dat je een document met of zonder macro's altijd veilig kan openen (of er is een ernstige bug die ook meteen gerepareerd moet worden), en een document dat meer kan is meteen geen document meer maar een programma met herkenbare kenmerken, en dat is weer makkelijk te blokkeren.

Het docx/docm-onderscheid is een verbetering ten opzichte van het oude doc-formaat (idem voor andere office-formaten), maar wat mij betreft is niet het juiste onderscheid gekozen. Je moet een document met gevaarlijke macro's niet eens rechtstreeks met de documentverwerkers zelf kunnen openen wat mij betreft. Iets wat de mogelijkheid heeft om buiten het document zelf effecten te hebben moet in alle opzichten als een applicatie behandeld worden, niet als een document.

"Als je bureaublad beheerstools als Res PowerFuse gebruikt plus goede policies kunnen dit soort dingen gewoon zo goed als niet gebeuren."

Dit is een goed beveiliging tegen dit soort dreigingen. Het product heet alleen al jaren RES ONE Workspace

De gebruikers zitten op applicaties te wachten geleverd door de ICT en nee dat zijn niet de applicatie zoals ICT die ziet.
Kinkt verwarrend, dat klopt. De toelichting:
- Het gaat de gebruikers om het bedrijfsproces gegevens inzien veranderen (inboeken) verwerken etc. Hoe met welke techniek is niet zo belangrijk.
- Techneuten nerds denken in machines dozen en noemen tools "de applicaties". Bedrijfsprocessen zijn allemaal maar lastig en storend..
Het zijn werelden zo anders als mars en venus. Wat er gebeurd is dat de gebruikers het zelf maar gingen doen, vandaar die macro-s. Er zijn voldoende mogelijkheden voor goede beheerders om van alles alsnog goed verantwoord te krijgen. Maar ja dat is zeer ongewenst want te duur en maakt het makkelijk werken onmogelijk.

Voor dat inzicht om het toch goed te doen moet je echt bij het lijnmanagement zijn, die hebben het zo laten gebeuren.
Het wijzen naar een externe leverancier is het makkelijkst om van de eigen verantwoording af zien te komen. Dan wijzen er nog steeds meer vingers terug voor het eigen falen.
Jammer Joep maar kijkend naar de praktijk in grotere organisaties speelt er toch echt wat anders. (zei boven)
Libre-office een alternatief? Nou pluis dan limux eens door de zelfde shit. Ze hebben er een eigen macro omgeving voor zitten bouwen het heet Wollmux. Als uitzondering op een hegemonie (denk ook aan lotus IBM) is er minder last van aanvallen.

Ook hier weer: Application Whitelisten

Dit voorkomt installatie van de trojan (op commando van de Macro)

Daarnaast webfilter/firewall met dynamic C&C blocklist.

P.s. en ja, heeft alleen impact op Windows. De payload bestaat uit executables en geen DMG's.

Bizar weer die "Ford is beter dan Opel" bijdragen.

Bij targeted attacks moet je ervan uitgaan dat de aanvallers hebben uitgezocht welke software jouw organisatie gebruikt (o.a via social engineering of te Googelen). Zorg dat die gepatcht is, is dichtgetimmerd tot werkbaar niveau en voed de typmiepen op.

En omdat het vroeger of later toch fout gaat: vermijd concentraties van rechten en privileges, zorg voor betrouwbare detectie en rappe+getrainde incident responders met duidelijke procedures en voldoende bevoegdheden.

Maak je met MS-Office macro's/Libreoffice-macro's de boel nog monolitischer dan het daarvoor al was? Slecht idee volgens mij. Ik vind "macro's zijn nou eenmaal nodig" veel te makkelijk, gegeven de risico's die ze opleveren. En ze leveren een veel te grote vendor-lockin op, ongeacht het platform.

Het is ook vioral betreurlijk om te merken dat een heleboel macro's ingezet worden op momenten dat je eigenlijk naar andere programmatuur zou willen kijken... om gebruiksgenak is het nu geaccepteerd geraakt en lijken heel veel mensen macro's als vanzelfsprekend te beschouwen. Dit laatste is m.i. de echte oorzaak dat dit gevaren oplevert; gebruikers zijn niet gewend zich te vragen waar die macro's al dan niet voor zijn...

Kort en mij eens.