Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Microsoft Office Macro's blokkeren in legacy formaten

02-12-2016, 14:05 door Anoniem, 8 reacties
Hallo Allemaal,

Door de toenemende populariteit van MS Office Macro virussen ben ik bezig met bewapening hiertegen.
Ik heb ingesteld dat docm, .xlsm, etc nu worden geblokkeerd als ze per e-mail worden toegestuurd.

Ik zit alleen even met de oude formaten doc en xls en eerder. Is jullie een methode voor office 2010 en hoger bekend om te configureren dat uitvoeren van Macro's in deze oude formaten niet meer mogelijk is en dat dit alleen via de nieuwere formaten mag.

Bij voorbaat dank.

Bart Hofstede
Reacties (8)
02-12-2016, 16:08 door Leon1970 - Bijgewerkt: 02-12-2016, 16:09
De meeste crypto ransomware komt via de mail binnen. Je kan ook overwegen om de MS Office documenten met een viewer te laten openen. Dat was ook een advies van de FBI in een eerder artikel op deze site
https://www.security.nl/posting/479129/FBI+adviseert+Office+Viewer+tegen+ransomware

En kijk ook eens naar EMET in combinatie met AppLocker
http://social.technet.microsoft.com/wiki/contents/articles/29787.microsoft-protection-center-security-tips-to-protect-against-ransomware.aspx
onder het kopje "Extra protections against Ransomwares"

Overigens wordt er ook Ransomeware verspreid via andere bijlages. (ZIP, JS, etc).
02-12-2016, 16:31 door Anoniem
Bart,

Help ons ook eens door te vertellen hoe je dat (specifieke) bijlagen per mail blokkeren hebt gedaan voor en met welke programma's?

Bij voorbaat dank.
02-12-2016, 20:29 door Anoniem
We blokkeren Macro office bestanden met attachment filtering incl. als deze in een ZIP of Rar bestand zitten. Bijvoorbeeld instellen dat docx wel via de mail mag binnenkomen, maar docm als bijlage wordt geblokkeerd. We doen dit ook met diverse executable bestanden en script bestanden die via de mail binnenkomen.

Applocker gebruiken we om uitvoerbare bestanden en scripts te blokkeren op locaties waar dit niet mag. Bijvoorbeeld alleen vanuit windows directory, program files, etc en de rest niet. Maar ik zie niet hoe je met Applocker kan instellen dat je wel .doc bestanden mag openen maar geen .doc bestanden met macro's erin.

Microsoft stopt met viewers dus dat is geen optie en onze gebruikers zouden dit niet accepteren. Emet heb ik mee getest, maar deze heeft te veel issues met diverse programmatuur en ook hier gaat Microsoft mee stoppen.

Bart
02-12-2016, 21:59 door Anoniem
Ach, ja. Als een bijlage van een email geblokkeerd is, dan vraag ik de afzender om de bijlage (inclusief virusjes) via WeTransfer te versturen. Werkt tot nu toe probleemloos.
02-12-2016, 22:44 door Anoniem
Gelukkig kun je bijlagen eerst checken met Kaspersky.
03-12-2016, 09:28 door karma4
Die formaten stammen van voor 2008, waarom zou je die accepteren. Beschouw ze als verouderd blokkeren met als reply dat je het graag ontvangt in een modern formaat.
Louts123a wordstar Wordperfect doe je ook toch niets meer mee.
03-12-2016, 09:45 door Anoniem
Een net even andere aanpak is de uitvoering van macros in Office blokkeren via Group policy's.

Wij hebben het zo gebouwd dat niemand "macro uitvoerrechten" heeft behalve als je lid bent van de speciaal aangemaakte "GPO_Office_Macros" ADS groep.
Medewerkers die toch rechten nodig hebben om macros uit te voeren worden hier lid van gemaakt en krijgen een document met tekst en uitleg over de gevaren van het uitvoeren van macros verkregen van extern.
03-12-2016, 10:31 door Anoniem
Als je de optie hebt om op een email content scanner te scannen, zou ik dat doen. Er is command line antivirus software die de mogelijkheid heeft macro's te detecteren of te verwijderen. Probeer er gewoon een paar (check ClamAV, McAfee, F-prot) of losse tools zoals Didier Stevens' Filescanner, olevba, Officemalscanner. Wel rekening houden met de stabiliteit en betrouwbaarheid van losse tools in het algemeen. Als je docm niet mee wilt nemen kun je eerst filetypen op de DOCFILE signature, en daarna de tool draaien.

Een alternatief is het omzetten van het ene bestandsformaat in het andere, bijvoorbeeld van doc naar RTF. Daarmee worden macros automatisch verwijderd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.