Computerbeveiliging - Hoe je bad guys buiten de deur houdt

macro's: Office GPO werkt niet #2

10-03-2020, 23:26 door Erik van Straten, 16 reacties
Laatst bijgewerkt: 10-03-2020, 23:33
In vervolg op mijn bijdrage in https://www.security.nl/posting/647226/macro%27s%3A+Office+GPO+werkt+niet, waarin ik beschreef dat in een flink aantal Office versies policies geheel niet werken, het volgende:

        Ook als een Office versie policies wel ondersteunt, werken deze mogelijk niet altijd!

Onderstaande beschrijving geldt voor "Microsoft Office Home and Business 2016" op mijn PC (Engelstalig, 32 bits, met Click-To-Run geïnstalleerd). Ik ben heel benieuwd naar ervaringen met andere Office versies; zie mijn oproep onderaan.

Geteste policy
Om te voorkomen dat een gebruiker macro's kan uitvoeren, stelde ik -als test- de volgende user-policy in voor "Microsoft Word 2016" (zie [1] onderaan voor info, en het getal tussen {} voor Nederlandse vertalingen):

VBA Macro Notification Settings {1} = Enabled met:
- ofwel: Disable all without notification {2} (een gebruiker kan dan het uitvoeren van macro's niet toestaan);
- ofwel: Disable all except digitally signed macros {3}.

Met bovenstaande policy
GOED: de gebruiker opent een document met macro's dat NIET afkomstig is van Internet, en probeert een macro uit te voeren: dat lukt niet met een foutmelding - als gevolg van de ingestelde policy. Nb. dit is, zoals verwacht, onafhankelijk van de instellingen die de gebruiker zelf kan wijzigen.

FOUT: de gebruiker opent een document met macro's dat WEL afkomstig is van Internet (met MotW, zie [2]).
Het document opent in "Protected View" {11} en bovenaan verschijnt een gele balk die begint met de tekst:
PROTECTED VIEW    Be careful -- files from the Internet can contain viruses ... [Enable Editing] {4}

   PROBLEEM: Zodra de gebruiker op "Enable Editing" {5} klikt, werkt de ingestelde policy niet meer!

Gebruikersinstellingen
Wat er vervolgens in de FOUTE situatie gebeurt is slechts nog afhankelijk van de gebruikersinstellingen in het "Trust Center" {6}:

1) Als een gebruiker niets aan de instellingen gewijzigd heeft, is het standaard dat Word de gebruikersinstelling "Disable all with notification" {7} toepast. De gebruiker krijgt dan opnieuw een gele balk te zien, nu met de tekst:
SECURITY WARNING    Macros have been disabled. [Enable Content] {8}
Zodra de gebruiker op "Enable Content" {9} klikt, worden eventueel aanwezige autostartende macro's meteen uitgevoerd, en kan de gebruiker naar keuze met de hand macro's starten.

2) Als een gebruiker ervoor gekozen heeft om in te stellen "Enable all macros (not recommended)" {10}, wordt die tweede waarschuwing niet getoond en worden macro's, ondanks de ingestelde policy, zonder waarschuwingen uitgevoerd.

Risico
In de vorige draad wees ik al op een Word-screenshot in https://www.bleepingcomputer.com/news/security/malware-spread-as-nude-extortion-pics-of-friends-girlfriend/ (directe link: https://www.bleepstatic.com/images/news/u/1109292/2020/Sextortion%20malicious%20attachment.png), waarbij de gebruiker gevraagd wordt om achtereenvolgens te klikken op:
1) Enable Editing {5} - voor een document afkomstig van internet (e-mail bijlage);
2) Enable Content {9} - om het uitvoeren van macro's toe te staan.

Tegen mijn verwachting in biedt de hierboven beschreven policy hier geen enkele bescherming tegen! En kan een gebruiker, door eigen instellingen aan te passen, dit zelfs tot 1 klik beperken.

Vermoedelijke oorzaak
De oorzaak hiervan lijkt te zijn dat, zodra de gebruiker in "Protected View" {11} op "Enable Editing" {5} klikt, het document als Trusted wordt beschouwd - waarna policies niet meer worden gecheckt. Mijn bezwaar hiertegen is dat een gebruiker kennelijk (onbedoeld) policies kan uitschakelen - dat lijkt mij niet de bedoeling en op z'n minst onverwacht!

Redenen voor deze aanname zijn dat de volgende policies dan ook niet meer werken:
- "Block macros from running in Office files from the Internet" {12}
- "Turn off trusted documents" {13}
Hier ben ik gestopt met testen (het kost me teveel tijd). Maar ik ga ervan uit dat in zo'n trusted document (vertrouwd door de gebruiker) geen enkele policy meer werkt.

FIX?
Helaas heb ik GEEN GOEDE FIX kunnen vinden voor dit gedrag, anders dan voorkomen dat documenten eerst in Protected View {11} worden geopend - maar dat durf ik niet aan te raden omdat ik niet weet wat daar de consequenties van zijn. In elk geval is het zo dat als ik de policy "Do not open files from the Internet zone in Protected View" {14} aanzet, met de policy bovenaan dit document het uitvoeren van macro's blokkeer. Maar er zijn meer omstandigheden waarbij documenten in protected view openen. Wellicht het beste is om gebruikers te vragen om in het Trust Center het uitvoeren van macro's en ActiveX objecten in documenten te blokkeren "without notification", d.w.z. zonder dat de gele balk met de "Enable" knop wordt getoond. E.e.a. kan wellicht ook vanuit inlogscripts worden geconfigureerd.

Verantwoording
Ik heb dit eind van de middag in een e-mail als beveiligingsrisico gemeld bij Microsoft, en kreeg als antwoord:
Thank you for contacting the Microsoft Security Response Center (MSRC). What you're reporting appears to be a bug/product suggestion, but would not meet the bar for security servicing.

As such, this email thread has been closed and will no longer be monitored.

To best resolve this issue please see the following link for reporting an issue that's not for MSRC:

"Report an Issue"
<https://www.microsoft.com/en-us/msrc/faqs-report-an-issue>
Ik vind dit wel degelijk een security-issue en heb dit niet als bug gemeld (als iemand dit wel wil doen, ga je gang natuurlijk).

Conclusie
Ik vind het bijzonder wrang dat notabene "Protected View" in een groot risico verandert zodra de gebruiker denkt dat het wel veilig is om een document te editten. Ook begrijp ik niet dat Microsoft het geen security-issue vindt als een eindgebruiker, zonder dit te weten, een reeks beveiligingspolicies kan uitschakelen en daardoor onbedoeld malware kan starten.

Referenties en meer info
[1] Ik heb de adminstratieve templates voor Office 365 ProPlus, Office 2019, and Office 2016 (x86, de 32 bits versies) gedownload vanuit https://www.microsoft.com/en-us/download/details.aspx?id=49030. Daarna heb ik admintemplates_x86_4966-1000_en-us.exe gestart en in een temp directory laten uitpakken. Vervolgens heb ik alle *.admx files gekopieerd naar C:\Windows\PolicyDefinitions, en de Engelstalige *.adml files naar C:\Windows\PolicyDefinitions\en-US. Vervolgens heb ik gpedit.msc gestart. De Word policy settings zijn te vinden in User Configuration -> Administrative Templates -> Microsoft Word 2016 -> Word options -> Security -> Trust Center.

Tip: ga je testen, dan is het verstandig om als gebruiker in het Trust Center in te stellen, onder Trusted Documents:
[v] Disable Trusted Documents
Dit voorkomt dat keuzes die een gebruiker maakt, waaronder Enable Editing {5} en Enable Content {9}, als "trust" gegevens worden bewaard - waarna je, de eerstvolgende keer dat je het document opent, niet meer gevraagd wordt om die keuzes te maken. Nb. het gebruiken van de policy hiervoor heeft geen zin voor documenten afkomstig van internet; hier wordt gewoon een record voor aangemaakt (in het register, per bestand, onder HKCU\Software\Microsoft\Office\16.0\Word\Security\Trusted Documents\TrustRecords). De lijst met "trusted documents" kun je overigens wissen in hetzelfde tabblad van het Trust Center van Word.

Ik heb getest door de volgende macro aan een testdocument toe te voegen (let er op dat je niet toevoegt aan normal.dot, maar aan het document zelf):
Sub InsertTextAtEndOfDocument()
ActiveDocument.Content.InsertAfter Text:="Deze macro werkt! "
End Sub

[2] In https://security.nl/posting/647385 leg ik uit wat zo'n MotW is en hoe je die kunt aanmaken.

Vertalingen
{1} "VBA Macro Notification Settings" = "Instellingen voor VBA-macro meldingen"
{2} "Disable all without notification" = "Alle macro's zonder melding uitschakelen"
{3} "Disable all except digitally signed macros" =
      "Alle macro's uitschakelen, met uitzondering van digitaal ondertekende macro's"
{4} "PROTECTED VIEW Be careful -- files from the Internet can contain viruses ... [Enable Editing]" =
     "Beveiligde weergave Dit bestand is afkomstig van een internetlocatie en mogelijk onveilig. [Bewerken inschakelen]"
{5} "Enable Editing" = "Bewerken inschakelen"
{6} "Trust Center" = "Vertrouwenscentrum"
{7} "Disable all with notification" = "Alle macro's uitschakelen met melding"
{8} "SECURITY WARNING Macros have been disabled. [Enable Content]" =
      ("Beveiligingswaarschuwing Macro's zijn uitgeschakeld. [Inhoud inschakelen]").
{9} "Enable Content" = "Inhoud inschakelen"
{10} "Enable all macros (not recommended)" = "Alle macro's inschakelen (niet aanbevolen)"
{11} "Protected View" = "Beveiligde weergave"
{12} "Block macros from running in Office files from the Internet" =
       "Voorkomen dat macro's worden uitgevoerd in Office-bestanden van internet"
{13} "Turn off trusted documents" = "Vertrouwde documenten uitschakelen"
{14} "Do not open files from the Internet zone in Protected View" =
       "Geen bestanden van de internetzone openen in de beveiligde weergave"

Oproep
Ben ik de enige die dit constateert, en ligt dit wellicht aan mijn PC en/of instellingen daarop? Wat zijn de ervaringen van beheerders/security mensen/testers met andere (of dezelfde) Office versies op dit gebied?
Reacties (16)
11-03-2020, 13:21 door Anoniem
Bedankt Erik, voor het delen van je bevindingen.

Ik ben er zelf niet zo diep ingedoken als jij, maar mij is wel duidelijk dat er ernstige problemen zijn met de beveiligingsopties van Office. Enerzijds wordt er te vaak gewaarschuwd tegen editen, en anderszijds wordt er niet voldoende gewaarschuwd tegen macro's, die toch echt het gevaarlijkst zijn. Andere gevaren zijn natuurlijk embedding.

De laatste tijd zie ik weer andere Office macro's langskomen die niet zo makkelijk herkend kunnen worden aan de obfuscatie verdachte API calls.
11-03-2020, 14:45 door Anoniem
Bedankt Erik! Dit is soort forum posts maken security.nl extra waardevol.
12-03-2020, 00:33 door Erik van Straten - Bijgewerkt: 12-03-2020, 00:50
Dank voor de reacties! Overigens is het nog erger dan ik dacht, zie verderop.

In elk geval is wat in https://www.microsoft.com/security/blog/2016/03/22/new-feature-in-office-2016-can-block-macros-and-help-prevent-infection/ staat, volstrekt niet waar voor Office 2016 op mijn PC en een file afkomstig van Internet.

Als ik die file open, verschijnt dezelfde gele balk als getoond in https://cloudblogs.microsoft.com/uploads/prod/2018/01/311.png. Als ik vervolgens op 'Enable Editing' klik, verschijnt echter niet de rode balk zoals getoond in https://cloudblogs.microsoft.com/uploads/prod/2018/01/48.png, maar beschouwt MS Word het vanaf dat moment als een Trusted document en werkt geen enkele policy meer (de user settings worden vanaf dat moment gebruikt).

In de policy (.adml file) kun je hierover lezen:
Block macros from running in Office files from the Internet
[...]
If you enable this policy setting, macros are blocked from running, even if “Enable all macros” is selected in the Macro Settings section of the Trust Center. Also, instead of having the choice to “Enable Content,” users will receive a notification that macros are blocked from running. If the Office file is saved to a trusted location or was previously trusted by the user, macros will be allowed to run.
[...]
Diezelfde tekst is overigens ook te vinden voor de laatste Office 365 versies:
1) Open https://config.office.com/deploymentsettings
2) kies onder "Office suites" een versie naar keuze
3) Klik helemaal onderaan op Application Preferences
4) Klik net daaronder (bovenaan de lijst) op Word
5) Klik op Word Options
6) Klik op Security
7) Klik op Trust Center
8) Klik op "Block macros from running in Office files from the Internet"

Ik vrees dan ook dat het gedrag wat ik met Office 2016 zie, voor alle Office versies geldt die policies ondersteunen. Dit lijkt te worden bevestigd door https://support.office.com/en-us/article/trusted-documents-cf872bd8-47ec-4c02-baa5-1fdba1a11b53, onderaan:
Note: If a file opens in Protected View that has no active content, and you enable editing, the file is trusted and no longer opens in Protected View. However, if the file contains active content, a Message Bar appears for the disabled active content, until you enable the content. Active content is not enabled automatically when you exit Protected View.
Echter: dat laatste hangt dan alleen nog van de gebruikersinstellingen af en kun je niet meer met policies afdwingen. Daardoor kan de gebruiker, met de standaard gebruikersinstellingen, met social engineering worden overgehaald om op "Enable Content" te klikken. Iets wat ik juist met policies hoopte te kunnen voorkomen, en waarvan Microsoft (en bijv. https://www.ncsc.gov.uk/guidance/macro-security-for-microsoft-office) onterecht suggereren dat dit zo is.


Maar, zoals ik zei, het is nog erger. Als ik (als admin) tevens de policy "Do not open files from the Internet zone in Protected View" aanzet, en (als ordinary user) Word weer start met het document van Internet, verschijnt WEL de rode balk (in plaats van de gele, immers dit is geen protected view meer) - met exact dezelfde tekst als getoond in https://cloudblogs.microsoft.com/uploads/prod/2018/01/48.png, dus:
BLOCKED CONTENT    Macros in this document have been disabled by your enterprise administrator for security reasons.
Dat klinkt goed, daar komt een gebruiker heus niet meer langs!

Helaas: als ik vervolgens Alt-F8 indruk (om de dialoogbox met aanwezige macro's te openen), verandert die rode balk in:
SECURITY WARNING    Macros have been disabled.   [Enable Content]
Zie https://imgur.com/a/pL4MEtb voor die laatste twee situaties.

Zodra ik de macro-dialoogbox heb gesloten, op Enable Content klik, verdwijnt de rode balk. Als ik daarna op Alt-F8 druk kan ik (als ordinary user) gewoon macro's in het document uitvoeren...

Wat heb je in vredesnaam aan security policies die niet werken zoals beschreven, en als je ze toch aan de praat krijgt door protected view uit te schakelen, eenvoudig door gebruikers omzeild kunnen worden?

Of is er toch iets vreemds aan de hand op mijn PC en zien anderen dit onverwachte gedrag niet?
12-03-2020, 07:51 door Anoniem
ik begrijp je verbazing en frustratie. en daar betaal je dan ook nog eens voor. ik herken dat en heb dat achter me gelaten toen ik mij besefte dat bij een commercieel bedrijf er maar een ding werkelijk geld en de rest marketing eerder is. in software land/ digitale wereld lijkt dat nog meer te heersen dan in de vertrouwde analoge wereld. technologie benevelt de meeste mensen te veel. ook bestuurders die lastige probleem stukken eigenlijk laten voor wat ze zijn omdat de 'techniek het wel op zal lossen'. verbazing dan als een commercieel bedrijf een product op de mark heeft gebracht ter oplossing, achter af toch weer niet geheel lijkt te werken of zijn wat het is. tja, niets nieuws onder de zon en zo gaat dat dus ook met de cash cow van MS. marketing en glossy folders met onduidelijk zinnen die suggestief zijjn.
12-03-2020, 08:31 door karma4 - Bijgewerkt: 12-03-2020, 08:37
Door Erik van Straten: Of is er toch iets vreemds aan de hand op mijn PC en zien anderen dit onverwachte gedrag niet?
Fraai onderzoek naar gedrag van een omgeving. Ik zou willen dat het standaard was bij uitrol en beheer van "applicaties".
Je hebt het wel over je specifieke situatie, een thuis machine. Een bedrijfsomgeving met bedrijfslicentie kan zich afhankelijk van de combinaties anders gedragen. Soms beter, som net zo wonderlijk … niet goed.

Je hebt nu twee instellingen:
- active inhoud (macro's)
https://www.microsoft.com/security/blog/2016/03/22/new-feature-in-office-2016-can-block-macros-and-help-prevent-infection/
- trusted locations
https://support.office.com/en-us/article/trusted-documents-cf872bd8-47ec-4c02-baa5-1fdba1a11b53

De mogelijke combinaties en de achterliggende definities maken het allemaal zeer lastig te volgen.
Daar heb ik ooit mee te maken gehad (nu legacy).
https://docs.microsoft.com/en-us/dotnet/framework/tools/caspol-exe-code-access-security-policy-tool
De code access policy kan tegenwoordig uit en aan. Als de manifest file (extern geleverd) en de trusted locatie niet in overeenstemming waren dan was er een probleem. Alles trusted maken maakt het draaibaar maar niet veilig.
Kom je er zo achter dat op de eigen machine standaard alles als trusted staat.
Nog erger was de gevonden achterliggende documentatie. Het hele extra securityframework werd opgezet met als argument dat securitybeheerders onvoldoende alignment tonen met het securityframework die zij beheren.

Heeft deze invloed?
https://support.office.com/en-us/article/add-remove-or-change-a-trusted-location-7ee1cdc2-483e-4cbb-bcb3-4e7c67147fb4
12-03-2020, 12:39 door Erik van Straten
Door Anoniem: ik begrijp je verbazing en frustratie. en daar betaal je dan ook nog eens voor. ik herken dat en heb dat achter me gelaten toen ik mij besefte dat bij een commercieel bedrijf er maar een ding werkelijk geld en de rest marketing eerder is.
Ik begrijp jouw standpunt, maar mijn uitgangspunt is dat ik niet kan beïnvloeden welke software en mensen gebruiken, en wie de fabrikant daarvan is. Mijn doel is om te kunnen adviseren hoe je, gegeven specifieke sofware, die zo veilig mogelijk (gegeven de context) kunt gebruiken.

Het zou mij niet verbazen als wat in https://www.microsoft.com/security/blog/2016/03/22/new-feature-in-office-2016-can-block-macros-and-help-prevent-infection/ staat aanvankelijk wel klopte, maar dat Microsoft te veel klachten kreeg van gebruikers die legitieme documenten met macro's niet meer konden openen, en daarom heeft besloten dat gebruikers policies maar moeten kunnen omzeilen.

Het hoofdprobleem is dat veel gebruikers, met social engineering - vaak incombinatie met bepaalde omstandigheden, verleid kunnen worden om een kwaardaadige bestanden te openen. Dit is overigens geen Microsoft-only probleem!

Het dilemma is, als je daadwerkelijk het openen van bestanden met macro's (of andere "active content") zou kunnen blokkeren, dat dit natuurlijk ook gebeurt met bestanden die niet kwaadaardig zijn: daar zul je dan een oplossing voor moeten bieden (bijv. unlocken door helpdeskmedewerkers met verstand van zaken).

Zoals het nu gaat is het erg dubbel: .exe e-mailbijlagen blokkeren we, maar bij documenten met potentieel kwaadaardige inhoud hopen we dat virusscanners ons redden (wat zelden gebeurt) en dat gebruikers geen domme dingen doen. Wat ook zelden gebeurt, maar (vooral als je jouw netwerk niet volgens de laatste best practices hebt dichtgetimmerd) wel heel je organisatie kan platleggen en/of vertrouwelijke gegevens naar internet kan laten lekken. Kleine kans, enorme impact.
12-03-2020, 13:05 door Erik van Straten
Dank voor jouw reactie en het constructieve meedenken! (Dat mag je vaker doen ;-)

Ja, trusted locations hebben zeker invloed: indien een document in een trusted location wordt geopend in MS Word, worden altijd alle policies genegeerd - in elk geval local group policies, maar ik heb geen enkele reden om aan te nemen dat dit niet ook voor "gewone GPO's" in AD omgevingen zou gelden. Immers, policies-ondersteunende software kijkt (voor zover ik weet) in het register onder HKCU\Software\Policies\ of en wat zij moet doen. Of die registerwaardes tijdens inloggen vanaf een DC zijn gezet, of lokaal door de gpedit.msc, maakt bij mijn weten niets uit.

N.a.v. jouw bijdrage heb ik het effect van "trusted locations" nogmaals getest door een directory C:\Doc_Test\ te maken en daarna beide volgende situaties getest:
1) Met in de user settings die directory als trusted location;
2) Met de local policy editor (gpedit.msc) die die directory als trusted location.

In beide gevallen werkt geen enkele beschermende policy meer, en ook standaard of aangescherpte gebruikersinstellingen worden dan genegeerd (deze leiden niet meer tot waarschuwingen bij "active content").

De tweede test leidde overigens tot de volgende settings in het register (HKCU voor de gewone gebruiker):
Base path: [HKCU\Software\Policies\Microsoft\office\16.0\word]

[.\security\]
"blockcontentexecutionfrominternet"=dword:00000001

[.\security\protectedview]
"disableinternetfilesinpv"=dword:00000001

[.\security\trusted locations\location1]
"path"=hex(2):43,00,3a,00,5c,00,44,00,6f,00,63,00,5f,00,54,00,65,00,73,00,74,\
00,00,00
"date"="2020-03-12 10:14"
"description"="Local Policy Test"
"allowsubfolders"=dword:00000001
(Die "path" value name bevat als waarde Unicode voor "C:\Doc_Test").

Wat mij opviel is dat in situatie 2, in de "Trust Center / Trusted Locations" instellingen (zie het plaatje in https://support.office.com/en-us/article/add-remove-or-change-a-trusted-location-7ee1cdc2-483e-4cbb-bcb3-4e7c67147fb4), er niets staat onder "Policy Locations" - terwijl die (niet getoonde) policy-location wel werkt. Dit lijk mij een bug in die viewer, maar dat is het minste waar ik mij zorgen over maak.

Deelconclusies:
1) In gedeeltelijk of geheel "Trusted" documenten werken policies niet meer;

2) Eindgebruikers kunnen elk document gedeeltelijk of geheel "Trusted" maken. Als een document afkomstig is van Internet en de gebruiker op "Enable Editing" klikt, wordt het document als "gedeeltelijk trusted" beschouwd waarna er geen policies meer worden verwerkt. Er verschijnen dan, afhankelijk van de gebruikersinstellingen, hooguit nog waarschuwingen. De gebruiker kan het document echter ook in een reeds geconfigureerde "trusted location" plaatsen, of zelf zo'n locatie maken, en het document daarin opslaan waarmee het "volledig trusted" wordt. Bij het daarna openen zijn alle beveiligingen uitgeschakeld;

3) In documenten die nog geheel niet "trusted" zijn, kunnen eindgebruikers sowieso eventuele policies omzeilen (zoals ik eerder liet zien in https://imgur.com/a/pL4MEtb).

Eindconclusie: met local group policies voor Office 2016 voorkom je niet dat een eindgebruiker, die daar via social engineering toe wordt verleidt, kwaadaardige active content start (macro's, ActiveX, ...) - in een als e-mail-bijlage ontvangen of gedownload Word document. Hoogstwaarschijnlijk geldt dit voor alle Office bestanden (Excel, PowerPoint, Publisher, ...), maar dat heb ik niet getest.

Ik vermoed dat die eindconlusie ook geldt voor AD GPO's en alle Office versies die policies ondersteunen, maar hopelijk klopt dat vermoeden niet (ik vrees echter van wel).
13-03-2020, 10:56 door souplost - Bijgewerkt: 13-03-2020, 10:58
Door Erik
Ook begrijp ik niet dat Microsoft het geen security-issue vindt als een eindgebruiker, zonder dit te weten, een reeks beveiligingspolicies kan uitschakelen en daardoor onbedoeld malware kan starten.

Ik ook niet. Dat is precies mijn punt. Microsoft blijft drive-by downloads per default faciliteren terwijl we allemaal zien dat de grote incidenten hiermee beginnen, (om vervolgens door te hoppen naar een ongepatchte server)
13-03-2020, 16:43 door karma4
Door souplost:
Ik ook niet. Dat is precies mijn punt. Microsoft blijft drive-by downloads per default faciliteren terwijl we allemaal zien dat de grote incidenten hiermee beginnen, (om vervolgens door te hoppen naar een ongepatchte server)
Eenvoudig omdat gebruikers moeten kunnen werken met hun oplossingen waar os-nerds falen om ze dit te leveren.
Er zijn anderen die deze specifieke office vraag ook onderzocht hebben:
https://www.cyber.gov.au/publications/microsoft-office-macro-security
13-03-2020, 22:26 door Anoniem
Door Erik van Straten:
Door Anoniem: ik begrijp je verbazing en frustratie. en daar betaal je dan ook nog eens voor. ik herken dat en heb dat achter me gelaten toen ik mij besefte dat bij een commercieel bedrijf er maar een ding werkelijk geld en de rest marketing eerder is.
Ik begrijp jouw standpunt, maar mijn uitgangspunt is dat ik niet kan beïnvloeden welke software en mensen gebruiken, en wie de fabrikant daarvan is. Mijn doel is om te kunnen adviseren hoe je, gegeven specifieke sofware, die zo veilig mogelijk (gegeven de context) kunt gebruiken.

Het zou mij niet verbazen als wat in https://www.microsoft.com/security/blog/2016/03/22/new-feature-in-office-2016-can-block-macros-and-help-prevent-infection/ staat aanvankelijk wel klopte, maar dat Microsoft te veel klachten kreeg van gebruikers die legitieme documenten met macro's niet meer konden openen, en daarom heeft besloten dat gebruikers policies maar moeten kunnen omzeilen.

Het hoofdprobleem is dat veel gebruikers, met social engineering - vaak incombinatie met bepaalde omstandigheden, verleid kunnen worden om een kwaardaadige bestanden te openen. Dit is overigens geen Microsoft-only probleem!

Het dilemma is, als je daadwerkelijk het openen van bestanden met macro's (of andere "active content") zou kunnen blokkeren, dat dit natuurlijk ook gebeurt met bestanden die niet kwaadaardig zijn: daar zul je dan een oplossing voor moeten bieden (bijv. unlocken door helpdeskmedewerkers met verstand van zaken).

Zoals het nu gaat is het erg dubbel: .exe e-mailbijlagen blokkeren we, maar bij documenten met potentieel kwaadaardige inhoud hopen we dat virusscanners ons redden (wat zelden gebeurt) en dat gebruikers geen domme dingen doen. Wat ook zelden gebeurt, maar (vooral als je jouw netwerk niet volgens de laatste best practices hebt dichtgetimmerd) wel heel je organisatie kan platleggen en/of vertrouwelijke gegevens naar internet kan laten lekken. Kleine kans, enorme impact.

ik zou toch eens iets kritischer gaan denken. begrijp me goed, ik snap je argumenten, maar je verhaal is eerder in de trand van 'het overkomt ons allemaal en we zullen het maar moeten accepteren'. ik ben daar nog niet zo van overtuigd, 30 jaar geleden hadden we deze problemen als mensheid niet, en over 30 jaar is het weer een andere situatie. dat geeft meteen aan dat er wel degelijk iets veranderen kan en dat het 'we zitten er nu maar eenmaal mee' dus niet een juiste assesment van de situatie misschien is, ook al weet je nu nog niet precies moet doen. je kunt je lot accerepteren, wat jij suggereerd, of je kunt verder blijven zoeken en denken wetende dat dingen kunnen veranderen.

btw 1, als MS iets terug draait omdat ze veel klachten kreeg, dan is geld toch wederom de doorslaggevende reden geweest?

btw 2, dat van die .exe, al doende leert men, en in de eerste versies werd alleen op basis van een extentie naam gefilterd, en toen malware een extentie naam veranderde of dubbele extenties ging gebruiken, kwam fase twee etc. etc. etc. sommigen leren vlugger en sneller en slaan fase 2 over en beginnen dus niet met op namen filteren en hopen dat het daarme klaar is, die denken verder en dieper en komen met een systematischere oplossing en scannen inhoud van files, ongeacht de naam van de file.

btw 3, toch is er een verschil; het ene systeem opened autorun voorje meteen als het op een usb stick staat en of haalt externe content meteen binnnen als er een link in je mail staat, of voert een macro maar meteen uit als er een binnen komt etc. etc. een ander systeem kan daar een andere keuze in hebben. ik doe geen voorkeurs uitspraak, ik geef alleen dit feitje eventjes. er is verschil gewoon.
13-03-2020, 22:37 door Anoniem
Door karma4:
Door souplost:
Ik ook niet. Dat is precies mijn punt. Microsoft blijft drive-by downloads per default faciliteren terwijl we allemaal zien dat de grote incidenten hiermee beginnen, (om vervolgens door te hoppen naar een ongepatchte server)
Eenvoudig omdat gebruikers moeten kunnen werken met hun oplossingen waar os-nerds falen om ze dit te leveren.
Er zijn anderen die deze specifieke office vraag ook onderzocht hebben:
https://www.cyber.gov.au/publications/microsoft-office-macro-security

ik heb de link beken en gelezen.

- kun je aangeven waar die os nerds dan bij MS zitten die geen sluitende oplossing weten te geven en ook nog eens sterk afh van het specifieke MS product is?

(noot: volgens mij ben jij gewoon gefurstreed omdat je er zelf nooit slim genoeg voor bent geweest)

- de referentie geeft niet echt een oplossing, ze biedt verschillende mogelijkheden voor verschillende situaties, maar geen is sluitend behalve dan de optie geen macros uberhaupt, maar daarvan wordt duidelijk 'gemeld' dat dit heul veul buiness impact heeft. sure, bij iedereen op de hele wereld thuis en bij elk klein MKBertje op de hoek van de straat. NOT!
14-03-2020, 08:54 door Erik van Straten - Bijgewerkt: 14-03-2020, 08:59
Door karma4: Er zijn anderen die deze specifieke office vraag ook onderzocht hebben:
https://www.cyber.gov.au/publications/microsoft-office-macro-security
Ik heb donderdag met de daar genoemde settings geëxperimenteerd: het enige dat werkt is, op systeemniveau, VBA geheel uitschakelen. Het is de VBA engine die deze policy-setting checkt, en dat is onfafhankelijk van hoe trusted een document is. Maar daarmee blokkeer je geen andere actieve content zoals DDE koppelingen en ActiveX meuk, en geheel uitschakelen van VBA support (voor alle gebruikers) zal voor velen te radicaal zijn.

Intereressant in het kader van het niveau van trust vind ik https://www.bleepingcomputer.com/news/security/windows-registry-helps-find-malicious-docs-behind-infections/, o.a. verwijzend naar https://az4n6.blogspot.com/2016/02/more-on-trust-records-macros-and.html.

Overigens is de naam van de policy en gebruikersinstelling "Disable Trusted Documents" nogal verwarrend: wat daarmee boedoeld wordt is, indien gezet, dat Word niet onthoudt (in het register, zoals beschreven in bovenstaande 2 links), welk nieveau van trust de gebruiker een document heeft gegeven. Dit heeft dus uitsluitend invloed op het heropenen van documenten, niet op de sessie zelf (een betere naam was geweest: "disable remembering document trust level").
14-03-2020, 10:27 door Erik van Straten
Door Anoniem: ik zou toch eens iets kritischer gaan denken. begrijp me goed, ik snap je argumenten, maar je verhaal is eerder in de trand van 'het overkomt ons allemaal en we zullen het maar moeten accepteren'. ik ben daar nog niet zo van overtuigd, 30 jaar geleden hadden we deze problemen als mensheid niet, en over 30 jaar is het weer een andere situatie. dat geeft meteen aan dat er wel degelijk iets veranderen kan en dat het 'we zitten er nu maar eenmaal mee' dus niet een juiste assesment van de situatie misschien is, ook al weet je nu nog niet precies moet doen. je kunt je lot accerepteren, wat jij suggereerd, of je kunt verder blijven zoeken en denken wetende dat dingen kunnen veranderen.
Misschien dat jij uit mijn bijdragen opmaakt dat ik suggereer om het lot maar te accepteren, maar dat ik zeker niet mijn bedoeling!

Ik ben juist op zoek naar werkende oplossingen. Het probleem is dat ik op veel plaatsen suggesties zie voor "oplossingen" die helemaal niet (meer?) blijken te werken. En dat is waar ik in mijn laatste bijdragen voor waarschuw.

Ik heb alvast 1 tip, die je zowel met policies als met gebruikersinstellingen kunt regelen: stel in dat alle soorten bestanden die je opent met bijv. Word, behalve de laatste versie (zoals .docx en .docm - gezipte xml dus), openen in protected view zonder dat de gebruiker op "enable editing" kan drukken. Daarmee voorkom je dat een gebruiker, in de haast, onbedoeld kwaadaardige content in een .doc bestand kan uitvoeren. Daarmee voorkom je niet alle ellende, maar veel malwaremakers gebruiken ofwel daadwerkelijk het oude binaire .doc formaat (van vóór Office 2007), of hernoemen .docm bestanden in .doc - vermoedelijk omdat mailservers .docm bijlagen blokkeren en/of om virusscanners op het verkeerde been te zetten.
14-03-2020, 11:50 door karma4
Door Erik van Straten: ..
Overigens is de naam van de policy en gebruikersinstelling "Disable Trusted Documents" nogal verwarrend: wat daarmee boedoeld wordt is, indien gezet, dat Word niet onthoudt (in het register, zoals beschreven in bovenstaande 2 links), welk nieveau van trust de gebruiker een document heeft gegeven. Dit heeft dus uitsluitend invloed op het heropenen van documenten, niet op de sessie zelf (een betere naam was geweest: "disable remembering document trust level").
Dat is een goede toelichting over trusted etc. Ik las dat australische document en jouw conclusie staat er zo'n beetje.

De enige manier om het dicht te krijgen is het gaan werken met certificaten. Alles dicht gooien tenzij er een certificaat is dat het toelaat. Ik weet niet om die complexiteit acceptabel is en weet bijna zeker dat gebruikers zullen gaan steigeren.
https://support.office.com/en-us/article/change-macro-security-settings-in-excel-a97c09d2-c082-46b8-b19f-e8621e8fe373 Op zich klinkt die methodiek heel klassiek correct.

Als je een conversie met invoering van strikte security meegemaakt hebt weet je hoe tegenstrijdig dat is. De bestaande situatie is dat het werkt (geen security), zet je alles dicht dan werkt er ook niets meer. Je moet dan alles meteen met minimale rechten op orde hebben of beginnen met alles open te zetten en dan langzaam aan gaan dicht zetten.
Zodra je een structuur tegenkomt die onlogisch in elkaar zit dan moet je die eerst zien terug te brengen tot een logische kloppend verhaal. Dat is te vaak een zeer weerbarstig iets.
14-03-2020, 12:17 door Anoniem
ik denk dat we langzamerhand hier allen wel tot het inzicht aan het komen zijn dat (ongeverifieerde) macros in documenten (die dan ook nog een std aan staan) niet meer van deze tijd zijn en dat wellicht de snelste manier om van deze misaire af te komen is even de bittere pil te slikken en van nu af aan std disablen dan maar om organisaties hun gebruikte macros in kaart te laten brengen en te laten signeren met een organisatie certificaat die al dan niet bij de macros in het document meteen meegeleverd wordt. dat zal een hoop malware en phising dingen die nu heersen wel gaan schelen zonder dat er uiteindelijk functionaliteit verdwijnt. het gaat natuurlijk wel gepaard met inleveren van flexibiliteit, maar uiteindelijk winnen we weer tijd en energie terug in de maatschappij als we van 80% van de malware en phishing zooi af zijn enzv. enzv.

wellicht een teken: https://www.thurrott.com/dev/232268/microsoft-plots-the-end-of-visual-basic
16-03-2020, 13:56 door Erik van Straten
Afgelopen zaterdag heb ik een trial van de (als ik mij niet vergis) duurste een meest uitgebreide versie van Office 365 ProPlus E5 verkregen. Ik de 64-bit versie op een test-PC (W10 1909, alles en-us) geïnstalleerd. Ook heb ik rondgeneusd in het indrukwekkende aantal mogelijke instellingen vanuit de cloud, maar daar nog geen instellingen gewijzigd.

Opvallend is dat Word exact hetzelfde versienummer heeft als op mijn PC, met als enige verschil 64 vs 32 bits:
Onder "Account":
Mijn PC: About Word - Version 2002 (Build 12527.20278 Click-to-Run)
Test PC: About Word - Version 2002 (Build 12527.20278 Click-to-Run)

Na klikken op "About Word":
Mijn PC: Microsoft (R) Word 2016 MSO (16.0.12527.20260) 32-bit
Test PC: Microsoft (R) Word for Office 365 MSO (16.0.12527.20260) 64-bit

Mijn eigen PC is redelijk dichtgetimmerd terwijl die test-PC zo standaard mogelijk is. Beide PC's draaien 64-bit versies van Windows 10. Nb. als je Office installeert is het (op 64-bit Windows) de default dat de 32-bit versie van Office wordt geïnstalleerd: je moet dus bewust van de voorgestelde installatie afwijken om 64-bit Office te krijgen.

Vanochtend heb ik dezelfde Office ADML/ADMX files op de test-PC geïnstalleerd zoals ik eerder op mijn eigen PC heb gedaan, en daarna heb ik (ook op de test-PC) de volgende User policy aangezet: "Do not open files from the Internet zone in Protected View".

Als ik nu, als eerdergenoemde ordinary user (op de test-PC) test3.doc open (hernoemd vanaf .docm), kan ik (net zoals op mijn PC) voor "Enable Editing" kiezen. ECHTER: in tegenstelling tot op mijn PC, verschijnt nu wel zoals verwacht:
BLOCKED CONTENT Macros in this document have been disabled by your enterprise administrator for security reasons.
(op mijn PC verschijnt die regel alleen als ik Protected View uitschakel, en bovendien kan ik die waarschuwing dan overrulen).

Ook als ik (op de test-PC) vervolgens de Macro-dialoogbox open (Alt-F8) en een macro probeer uit te voeren, verandert bovenstaande melding niet en kan ik geen macro's uitvoeren.

Op mijn eigen PC heb ik met procmon gezien dat Word de relevante registry value wel degelijk uitleest - maar deze, om mij nog onbekende redenen, negeert (key: HKCU\Software\Microsoft\Office\16.0\Word\Security\ ; value name: BlockContentExecutionFromInternet ; type: DWORD: value: 1) .

Conclusie: in deze Office versie op mijn test-PC lijken policies wel te werken zoals verwacht, in tegenstelling tot op mijn werk-PC. Dat zou aan een 64-bit versus 32-bit Office versie kunnen liggen, maar ook aan wijzigingen (o.a. beveiligingen) die ik op mijn PC heb doorgevoerd (ik ga er vooralsnog vanuit dat er geen malware actief is op mijn werk-PC, maar zelfs als je redelijk verstand hebt van security kun je dat niet uitsluiten - sterker, dan zou je dat nooit moeten uitsluiten).

Ik ga verder zoeken en hou jullie op de hoogte.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.