În domeniul securității cibernetice, amenințările continuă să evolueze, ceea ce determină necesitatea unor mecanisme avansate de apărare. Una dintre aceste schimbări în ceea ce privește vectorii de atac implică utilizarea fișierelor office fără macro-uri, așa cum a demonstrat-o incidentul "meme4chan" raportat de Securonix Threat Labs, care a exploatat vulnerabilitatea CVE-2022-30190 Follina-în loc de macro-uri pentru a transforma documentul în armă și a scăpa un script Power Shell ofuscat, și care vizează în primul rând firmele din domeniul producției, al ospitalității, al sănătății și alte entități comerciale situate în Germania.
Chiar dacă amenințările au evoluat în timp, tehnologia Deep CDR oferă în continuare o protecție solidă împotriva acestor atacuri de tip macro-less office files. Această postare pe blog va ilustra cum.
Înțelegerea amenințărilor
Produsele Microsoft blochează acum macrocomenzile în mod implicit pentru a preveni atacurile bazate pe macrocomenzi. Cu toate acestea, această mutare a dus la o schimbare de tactică în care atacatorii apelează la tehnici bazate pe exploatări de tip "zero-day" pentru a-și executa intențiile rău intenționate, ceea ce face ca aceste fișiere office deghizate să reprezinte un risc semnificativ care se poate infiltra într-o rețea fără a fi detectat. În atacul meme4chan, atacatorii trimit mai întâi un e-mail de phishing cu un fișier Office malițios atașat, care exploatează o vulnerabilitate a fișierului Microsoft Office atunci când este deschis. Vulnerabilitatea permite obiectelor încorporate în fișier să execute codul PowerShell care conține încărcătura utilă malițioasă. În cele din urmă, acesta ocolește scanerul de malware, dezactivează Microsoft Defender și, în cele din urmă, execută un vierme malițios numit XWorm.
Pentru soluțiile convenționale de securitate a e-mailurilor, acest atac este imposibil de detectat, deoarece nu se bazează pe macro-uri, un mod de atac bine-cunoscut. OPSWAT SoluțiaEmail Security oferă capacitățile cheie pentru a aborda riscul și a preveni atacuri similare.
Deep Content Disarm and Reconstruction (Deep CDR)
Deep CDR reprezintă o contramăsură puternică. Aceasta este o tehnologie proactivă și preventivă care, în esență, "dezarmează" toate obiectele active dăunătoare dintr-un fișier, descompunându-l în componente și eliminând sau dezinfectând elementele potențial dăunătoare, cum ar fi obiectele încorporate, scripturile și macro-urile, indiferent dacă acestea sunt amenințări cunoscute sau nu. Acest lucru garantează că orice conținut rău intenționat din interiorul documentului va fi neutralizat înainte de a putea fi activat, prevenind astfel amenințările.
Odată ce conținutul activ este eliminat, Deep CDR reconstruiește fișierul în formatul său original, menținându-i utilitatea și asigurându-i în același timp statutul de securitate. Prin dezinfectarea fiecărui fișier, Deep CDR asigură că operațiunile de afaceri continuă fără probleme, fără a compromite securitatea.
Avantajele aplicării Deep CDR în MetaDefender Email Security Solution
Eficacitatea Deep CDR în combaterea fișierelor office fără macro-uri malițioase rezultă din:
- Protecție proactivă: În loc să se bazeze pe semnături sau modele de amenințări cunoscute, Deep CDR dezarmează tot conținutul activ, neutralizând potențialele amenințări înainte ca acestea să poată provoca daune.
- Utilizabilitate păstrată: Deep CDR reconstruiește complet fișierele cu funcționalitatea lor după igienizare, asigurându-se că continuitatea activității nu este întreruptă.
- Acoperire cuprinzătoare: Deep CDR dezinfectează o gamă largă de tipuri de fișiere, inclusiv arhivele protejate prin parolă - care reprezintă o altă metodă comună de livrare a încărcăturii malițioase.
În concluzie, creșterea numărului de atacuri de tip macro-less office files precum meme4chan subliniază necesitatea unor măsuri avansate și proactive de securitate a e-mailurilor. Deep Content Disarm and Reconstruction (Deep CDR) este o tehnologie avansată de prevenire a amenințărilor din soluția OPSWAT's MetaDefender Email Security care protejează organizațiile împotriva atacatorilor care utilizează exploatări necunoscute și Zero-Day prin asanarea a peste 120 de tipuri de fișiere și e-mailuri de conținutul activ malițios. Deep CDR asigură că securitatea e-mailului organizației dumneavoastră este pregătită să combată peisajul amenințărilor cibernetice în continuă evoluție.
