image

Windows Defender Exploit Guard beschermt tegen DDE-aanval

dinsdag 24 oktober 2017, 10:32 door Redactie, 17 reacties

Met de lancering van de Windows 10 Fall Creators Update heeft Microsoft nieuwe beveiligingsmaatregelen aan het besturingssysteem toegevoegd die onder andere tegen de DDE-aanval beschermen die de laatste dagen in het nieuws is. De nieuwe beveiligingsmaatregelen worden door Microsoft 'Windows Defender Exploit Guard' genoemd. Het gaat om een verzameling van features die gebruikers tegen verschillende dreigingen moeten beschermen.

Zo is er de feature genaamd 'Controlled folder access', die directories tegen ransomware beschermt. Alleen geautoriseerde applicaties krijgen in dit geval toegang tot bestanden in opgegeven mappen. Ongeautoriseerde uitvoerbare bestanden, dll-bestanden en scripts krijgen geen toegang, ook niet als ze met beheerdersrechten draaien. In het geval ransomware de bestanden in de opgegeven mappen benadert geeft Windows 10 een waarschuwing.

Attack Surface Reduction

Een andere feature is Attack Surface Reduction (ASR). Dit is een verzameling controls waarmee organisaties kunnen voorkomen dat een aanvaller via e-mail, scripts of Microsoft Office systemen kan infecteren. In het geval van Microsoft Office kan ASR voorkomen dat apps uitvoerbare content creëren of zichzelf in een proces injecteren. Ook wordt macro-code geblokkeerd. Een andere aanval die ASR blokkeert is die via de DDE-feature van Microsoft Office, zo heeft Microsoft bekendgemaakt.

De Dynamic Data Exchange (DDE) feature van Microsoft Office maakt het mogelijk om data van bijvoorbeeld een Excel-document in een Word-document te injecteren. Hiervoor wordt er code aan het ene document toegevoegd die naar de data in het andere document wijst. In plaats van een document kan er ook naar het uitvoeren van kwaadaardige code worden gelinkt. Aanvallers maken nu gebruik van deze feature om internetgebruikers via Word-documenten met ransomware en andere malware te infecteren. Windows Defender Exploit Guard kan deze aanval detecteren en stoppen. Verder stopt de feature JavaScript-, VBScript- en PowerShell-code, alsmede uitvoerbare content die via e-mail of webmail binnenkomt.

Exploitbescherming

Windows Defender Exploit Guard biedt ook bescherming tegen exploits. Het vervangt hiermee de bekende Enhanced Mitigation Experience Toolkit (EMET) van Microsoft. Net als EMET voorziet Exploit Guard het systeem van een aanvullende beveiliging die bescherming tegen bekende en onbekende exploits moet bieden. De Fall Creators Update zal op Windows 10-computers EMET verwijderen als deze tool geïnstalleerd is. EMET-gebruikers kunnen wel hun instellingen binnen Exploit Guard importeren. De Fall Creators Update wordt de komende maanden onder Windows 10-machines uitgerold en kan ook handmatig worden geïnstalleerd.

Reacties (17)
24-10-2017, 11:38 door Anoniem
In het 2de paragraaf staat: "Ongeautoriseerde uitvoerbare bestanden, dll-bestanden en scripts krijgen geen toegang, ook niet als ze met beheerdersrechten draaien."
Dit lijkt een beetje een vreemde stelling, aangezien aan het eind van de dag de eigenaar die beheerdersrechten heeft alles, maar dan ok alles mag aanpassen. Het lijkt erop dat zij het zichtbaar uitvoerbaar laten maken van dll-bestanden en scripts gaan blokkeren totdat je dat weer laat aanpassen terwijl windows niet draait. Dat is het hele probleem van iets verkopen. Lijkt mij dat zij dat stukje beter hadden kunnen aanpakken. Want zo proberen ze een gat in de rivier te dichten door het rivier elders de zee in te laten lopen, en dat zorgt alleen voor schade elders. Voor de rest vindt ik dit soort patches altijd een fijn stukje vooruitgang. :)
24-10-2017, 13:25 door Bitwiper
Zo is er de feature genaamd 'Controlled folder access', die directories tegen ransomware beschermt. Alleen geautoriseerde applicaties krijgen in dit geval toegang tot bestanden in opgegeven mappen. Ongeautoriseerde uitvoerbare bestanden, dll-bestanden en scripts krijgen geen toegang, ook niet als ze met beheerdersrechten draaien. In het geval ransomware de bestanden in de opgegeven mappen benadert geeft Windows 10 een waarschuwing.
Dit gaat maar even werken. "Vertrouwde" Office en standaard met Windows meegeleverde applicaties hebben veel te veel mogelijkheden om, aangestuurd door malware, bestanden te overschrijven of wissen.
24-10-2017, 13:56 door [Account Verwijderd]
[Verwijderd]
24-10-2017, 14:19 door Anoniem
Door Anoniem:

Want zo proberen ze een gat in de rivier te dichten door het rivier elders de zee in te laten lopen, en dat zorgt alleen voor schade elders.


Inderdaad en zo is het maar net:
de klepel horen drijven maar niet weten wie de klok past.
24-10-2017, 14:24 door Anoniem
Door Neb Poorten: Alleen een probleem wanneer je Microsoft Office gebruikt. Er zijn goede, zelfs betere, gratis alternatieven. Probeer bv. eens LibreOffice.

Nou, ruim vergelijkbaar, niet zozeer beter maar op punten net ff anders en vooral veel veiliger met mega pluspunt elke maand een update omdat aan de onywikkeling continue gewerkt door een enthousiaste community.
Slagroom op de taart : grrrrrrrrrrrrrrrrrrrrrrraaaaaaaaattttttttttttttttiiiiisssssssssssss ipv 12 euri per maand.
24-10-2017, 16:30 door Anoniem
@ all libre office aanhangers hierboven:

probeer eens MS word documenten met veel formules en plaatjes en tabellen enzo van 10j geleden ge-edit door verschillende MS word versies nog eens te openen.

geld is het punt niet, ook updates tgv bugs, maar bestanden x jaar na dato nog fatsoenlijk kunnen gebruiken wel!
24-10-2017, 17:03 door Bitwiper
In elk geval lukt het de meeste virusscanners nog niet om een .doc file (feitelijk docx) met daarin, minimaal geobfusceerd [1], een DDEAUTO commando, dat cmd.exe opstart met powershell als parameter, als kwaadaardig te herkennen (14 van 61 kort na ontvangst van deze e-mail bijlage):
https://www.virustotal.com/#/file/f60aee6675dd409b91db0cd1e95489acbfa5175db77c5702d6338103292456cc/detection

[1] Opgesplitst in substrings als DDE, AUTO, spatie, C:\\Windows\\System32\\, cmd, .exe, spatie, "/k , powershell.exe etc.
24-10-2017, 17:29 door karma4
Door Neb Poorten: Alleen een probleem wanneer je Microsoft Office gebruikt. Er zijn goede, zelfs betere, gratis alternatieven. Probeer bv. eens LibreOffice.
Helaas wel totaal ongeschikt in enterprise omgevingen wegens gebrek aan integratie van vrijwel alle grote commerciële paketten.
Thuis kun je ook wel met vi uit de voeten
24-10-2017, 18:02 door Anoniem
Door Anoniem:
Door Neb Poorten: Alleen een probleem wanneer je Microsoft Office gebruikt. Er zijn goede, zelfs betere, gratis alternatieven. Probeer bv. eens LibreOffice.

Nou, ruim vergelijkbaar, niet zozeer beter maar op punten net ff anders en vooral veel veiliger met mega pluspunt elke maand een update omdat aan de onywikkeling continue gewerkt door een enthousiaste community.
Slagroom op de taart : grrrrrrrrrrrrrrrrrrrrrrraaaaaaaaattttttttttttttttiiiiisssssssssssss ipv 12 euri per maand.

Want gratis bestaat namelijk. Echt. Geloof me nou. Binnenkort ook in dit theater: de gratis lunch!
24-10-2017, 18:08 door Anoniem
Door Neb Poorten: Alleen een probleem wanneer je Microsoft Office gebruikt. Er zijn goede, zelfs betere, gratis alternatieven. Probeer bv. eens LibreOffice.

Want in LibreOffice zit geen DDE?

Oh wacht... https://help.libreoffice.org/Calc/Spreadsheet_Functions#DDE

Ja, deprecated functionaliteit, net als in Office.
24-10-2017, 18:47 door Anoniem
Door Anoniem: @ all libre office aanhangers hierboven:

probeer eens MS word documenten met veel formules en plaatjes en tabellen enzo van 10j geleden ge-edit door verschillende MS word versies nog eens te openen.

geld is het punt niet, ook updates tgv bugs, maar bestanden x jaar na dato nog fatsoenlijk kunnen gebruiken wel!

In de wetenschappelijke wereld heeft MS Word al veel mensen tot wanhoop gedreven door tekst, plaatjes, formules die steeds ergens anders heen schuiven bij het editen tussen verschillende Word versies.
Libre Office zal zeker ook nukken hebben maar het is een stuk veiliger.

Als je serieus iets wilt publiceren: LaTeX
24-10-2017, 18:49 door Anoniem
Door karma4:
Door Neb Poorten: Alleen een probleem wanneer je Microsoft Office gebruikt. Er zijn goede, zelfs betere, gratis alternatieven. Probeer bv. eens LibreOffice.
Helaas wel totaal ongeschikt in enterprise omgevingen wegens gebrek aan integratie van vrijwel alle grote commerciële paketten.
Thuis kun je ook wel met vi uit de voeten

De generatie die vi nog kent en ook kan gebruiken sterft langzaam uit vrees ik... Gelukkig staat het nog op elke Linux / Unix distributie. Windhoos gebruikers weten echt niet wat vi is!
24-10-2017, 19:34 door Anoniem
Door karma4:
Door Neb Poorten: Alleen een probleem wanneer je Microsoft Office gebruikt. Er zijn goede, zelfs betere, gratis alternatieven. Probeer bv. eens LibreOffice.
Helaas wel totaal ongeschikt in enterprise omgevingen wegens gebrek aan integratie van vrijwel alle grote commerciële paketten.
Thuis kun je ook wel met vi uit de voeten

oeh oeh neeen! dat MOET emacs zijn!


btw, je geeft dus nu het mooiste argument zelf dat al die 'enterprise features' thuis ook niet in Office nodig zijn, en dat dus de Home ditit het betse dat std uit had kunnen hebben en dat die enterprise omgevingen daar waar dat wel nodig is dat middels een policy dan aan zetten waar nodig. precies dus de het omgekeerde wat MS doet: alles open en aan, zelfs legacy zodat ook thuis mensen een vergroot risico op malware lopen. dat voor je erkenning voor dat standpunt!
24-10-2017, 22:40 door Anoniem
Door Anoniem:
Door karma4:
Door Neb Poorten: Alleen een probleem wanneer je Microsoft Office gebruikt. Er zijn goede, zelfs betere, gratis alternatieven. Probeer bv. eens LibreOffice.
Helaas wel totaal ongeschikt in enterprise omgevingen wegens gebrek aan integratie van vrijwel alle grote commerciële paketten.
Thuis kun je ook wel met vi uit de voeten

oeh oeh neeen! dat MOET emacs zijn!

!

Anee

TextEdit on iMacs !
24-10-2017, 23:38 door [Account Verwijderd]
[Verwijderd]
25-10-2017, 12:31 door Anoniem
Door Anoniem:
Door Anoniem: @ all libre office aanhangers hierboven:

probeer eens MS word documenten met veel formules en plaatjes en tabellen enzo van 10j geleden ge-edit door verschillende MS word versies nog eens te openen.

geld is het punt niet, ook updates tgv bugs, maar bestanden x jaar na dato nog fatsoenlijk kunnen gebruiken wel!

In de wetenschappelijke wereld heeft MS Word al veel mensen tot wanhoop gedreven door tekst, plaatjes, formules die steeds ergens anders heen schuiven bij het editen tussen verschillende Word versies.
Libre Office zal zeker ook nukken hebben maar het is een stuk veiliger.

Als je serieus iets wilt publiceren: LaTeX

ack,


maar weet je ook hoeveel .doc files je toch van je collegea en den haag (nwo) je strot door krijgt?
25-10-2017, 22:58 door Patje-RedFan
Neem er ook maar bij dat uw systeem met factor 8 trager wordt als Windows Defender aanstaat!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.