Microsoft ferme deux canaux d’attaque sur ses logiciels • The Register

Microsoft tente de fermer la porte à un certain nombre de voies que les cybercriminels ont utilisées pour attaquer les utilisateurs et les réseaux.

La politique du géant de l’informatique d’entreprise consistant à bloquer par défaut les macros Visual Basic pour Applications (VBA) dans les documents Office téléchargés a été réactivée après une courte interruption afin de fournir les commentaires des utilisateurs rencontrant des problèmes de sécurité.

Cette semaine également, Microsoft a activé une norme dans Windows 11 conçue pour bloquer ou ralentir les attaques par force brute RDP (Remote Desktop Protocol) évidentes.

Les deux politiques espèrent fermer les voies que les criminels utilisent depuis des années pour pénétrer dans les systèmes, voler des données et diffuser du code malveillant.

Problème macro

La question des macros est devenue particulièrement délicate pour le géant du logiciel.

“Microsoft Office a fourni de puissantes capacités d’automatisation appelées contenu actif pendant des années, les plus courantes étant les macros”, a écrit Kellie Eickmeyer, chef de produit chez Microsoft, dans un article de blog en février lorsque le titan informatique a annoncé son intention de bloquer par défaut. macros qui s’exécutent dans des fichiers Office téléchargés ou provenant d’Internet.

“Bien que nous ayons fourni une barre de notification pour avertir les utilisateurs de ces macros, les utilisateurs peuvent toujours décider d’activer les macros en cliquant sur un bouton. Les mauvais acteurs envoient des macros dans les fichiers Office aux utilisateurs finaux qui les activent sans le savoir, des charges utiles malveillantes sont livrées et l’impact pourrait être grave, y compris les logiciels malveillants, l’identité compromise, la perte de données et l’accès à distance.”

Eickmeyer a ajouté que “pour la protection de nos clients, nous devons rendre plus difficile l’activation des macros dans les fichiers obtenus sur Internet”.

La politique consistait à bloquer ces macros spécifiques par défaut dans Access, Excel, PowerPoint, Visio et Word, bien que Microsoft ait temporairement interrompu l’initiative après quelques mois de retours – parfois négatifs – des utilisateurs. Les plaintes allaient de la critique sur la façon dont le blocage a été mis en œuvre à l’impact négatif qu’il a eu sur les systèmes de certains utilisateurs.

Dans une mise à jour de l’annonce originale cette semaine, Eickmeyer a écrit que Microsoft “reprend le déploiement de ce changement dans Current Channel”. clarifiez les options dont vous disposez pour différents scénarios.”

Les utilisateurs finaux peuvent cliquer ici pour plus d’informations, tandis que les administrateurs informatiques peuvent cliquer ici.

Retenant les années

Les macros sont un problème de sécurité depuis des années, Microsoft ayant publié un outil en 2016 qui permettait aux administrateurs de définir des politiques concernant le moment et l’endroit où ces scripts étaient autorisés à s’exécuter. De plus, les utilisateurs devaient indiquer s’ils voulaient vraiment exécuter des macros avant d’être autorisés à les exécuter.

Les défis continuent aujourd’hui. Le Wolf Security Threat Intelligence Group de HP a écrit ce mois-ci sur les fichiers OpenDocument utilisés pour distribuer des logiciels malveillants Windows. Ces documents ont été envoyés par e-mail aux marques et lorsqu’ils sont ouverts, il demande à l’utilisateur si les champs avec des références à d’autres fichiers doivent être mis à jour et s’il clique sur “oui”, ouvre un fichier Excel et demande à une autre invite si les macros doivent être activées. Si l’utilisateur active les macros, ses systèmes sont infectés par la porte dérobée open source AsyncRAT.

En ce qui concerne les attaques par force brute RDP, les versions de Windows 11 incluent désormais une politique de verrouillage de compte par défaut qui devrait au moins ralentir les intrus potentiels.

Dans les attaques par force brute, les cybercriminels utilisent des outils automatisés pour deviner le mot de passe du compte de quelqu’un : les outils parcourent une énorme liste de mots de passe jusqu’à ce que l’un d’eux fonctionne et se connecte au compte de la victime. Selon un tweeter de Dave Weston, vice-président de la sécurité des entreprises et des systèmes d’exploitation chez Microsoft, ces outils sont utilisés pour diffuser des rançongiciels et commettre d’autres crimes.

La politique par défaut pour les versions de Windows 11 – en particulier Insider Preview 22528.1000 et versions ultérieures – verrouille automatiquement les comptes pendant 10 minutes après 10 tentatives de connexion infructueuses. Les utilisateurs peuvent personnaliser cela, modifier le nombre de tentatives de connexion infructueuses qui déclenchent un verrouillage et la durée pendant laquelle le compte sera verrouillé.

Dans son tweet, Weston a écrit que “forcer brutalement ce contrôle rendra cela beaucoup plus difficile, ce qui est formidable”.

Dans un article de l’année dernière, des chercheurs de Malwarebytes Labs ont décrit les attaques par force brute RDP, affirmant qu’elles constituaient “une menace sérieuse et continue pour les ordinateurs Windows connectés à Internet”.

“Bien qu’il existe de nombreuses façons de s’introduire dans un ordinateur connecté à Internet, l’une des cibles les plus populaires est le protocole de bureau à distance (RDP), une fonctionnalité de Microsoft Windows qui permet à quelqu’un de l’utiliser à distance”, ont-ils écrit. . “C’est une porte d’entrée de votre ordinateur que toute personne disposant du bon mot de passe peut ouvrir depuis Internet.”

Les responsables de Malwarebytes Labs ont décrit un certain nombre de moyens de se protéger contre les attaques par force brute RDP, de la désactivation permanente de RDP à l’utilisation de mots de passe forts, d’une authentification multifacteur et d’un VPN, ainsi que la limitation des suppositions avant qu’un compte ne soit verrouillé. ®

Leave a Reply

Your email address will not be published.