Reconnaître un document Office malveillant dans l’entreprise
⏰
Les principales sociétés de sécurité informatique publient ces jours-ci des rapports dont les conclusions semblent très similaires: les principales sources d’infection dans les entreprises sont devenues des documents Office malveillants.
Les experts de Kaspersky expliquent que les cybercriminels, en particulier pour les attaques ciblées, utilisent beaucoup moins les vulnérabilités Web ils préfèrent exploiter les vulnérabilités de la suite Microsoft Office.
Au cours des derniers mois de 2018, Office est devenu le vecteur d’attaque préféré avec 70% du total alors qu’il y a deux ans, le pourcentage ne dépassait pas 16%.
La surface d’attaque qui distingue Office est en fait extrêmement large: il existe de nombreux formats que la suite Microsoft gère, de nombreuses interactions possibles avec le système d’exploitation et d’autres logiciels, de nombreuses technologies que les utilisateurs peuvent utiliser.
À partir de l’année dernière, le nombre de zéro jour il a considérablement augmenté dans le cas d’Office, signe clair du regain d’intérêt des cybercriminels pour la suite Microsoft.
Source: Kaspersky Lab
Kaspersky note comment les attaquants préfèrent les erreurs logiques et comment diverses failles de sécurité sont rapidement comblées outil automatique, disponible sur le net, qui vous permet de « packager » des documents Office malveillants.
Les experts russes soulignent que les vulnérabilités découvertes dans leéditeur d’équations d’Office (identifiants CVE-2017-11882 et CVE-2018-0802) restent toujours les plus exploités de tous (voir Vulnérabilités dans toutes les versions d’Office permet l’exécution de code malveillant et Voler les mots de passe des autres avec un simple document Word c’est possible ).
Kaspersky souligne qu’à moins que les utilisateurs ne mettent à jour Office (donc le problème du manque de propension à installer des mises à jour sur tous les systèmes utilisés dans l’entreprise persiste), les vulnérabilités identifiées danséditeur d’équations ils fonctionnent sur toutes les versions de Word publiées au cours des 17 dernières années.
De plus, tirer parti de ces lacunes ne suppose pas de disposer de compétences techniques particulières. De plus, aucune des vulnérabilités les plus exploitées n’affecte Office lui-même mais plutôt les composants logiciels qui lui sont attachés.
La société fondée par Eugene Kaspersky cite également l’exemple intéressant de la vulnérabilité CVE-2018-8174: le code exploit il a été détecté dans un document Word malveillant, utilisé pour mener des attaques ciblées, mais la vulnérabilité concerne en fait l’ancien Internet Explorer. En d’autres termes, le document Word est utilisé comme levier pour exécuter du code malveillant sur la machine de l’utilisateur en invoquant Internet Explorer pour se charger quel que soit le navigateur Web configuré par défaut.
Comment arrêter les attaques utilisant des documents Office malveillants
Compte tenu de la diffusion généralisée des attaques exploitant les failles de sécurité apparues progressivement dans les différentes versions d’Office, il est important de prendre quelques précautions afin d’éviter les problèmes pouvant entraîner des vols d’informations confidentielles, des pertes de données et d’argent.
Pour vous défendre, nous vous suggérons tout d’abord de suivre les suggestions publiées dans l’article Cyber sécurité, comment se défendre contre les menaces les plus modernes au bureau et en entreprise.
Les principales entreprises impliquées dans le développement de solutions de sécurité informatique mettent à disposition des clients des outils avancés pour la protection des point final. Le concept de sécurité doit rimer avec prévention, détection et réponse et dans l’entreprise c’est aujourd’hui Il est essentiel d’utiliser une approche centralisée pour la détection et le blocage en temps opportun de toute menace.
Certaines menaces sont conçues pour des attaques à grande échelle (pensez aux ransomwares ciblant autant d’utilisateurs que possible pour une rançon) mais les attaques APT (Menace persistante avancée), conçues pour cibler un seul professionnel ou une entreprise spécifique, sont malheureusement de plus en plus courantes.
Même ceux qui utilisent des solutions antivirus et antispam avancées côté serveur auront certainement remarqué que les messages arrivent parfois sur les postes de travail des employés et des collaborateurs. Hameçonnage qui vous invitent à ouvrir des pièces jointes malveillantes.
De plus en plus souvent (cela nous arrive souvent aussi), les cybercriminels utilisent des techniques rusées pour capter l’attention des destinataires des emails en insérant des références, écrites en italien, sur les activités de l’entreprise, ses procédures et ses flux de travail.
Dans ce cas, on parle de hameçonnage car les attaquants, afin de persuader l’utilisateur d’ouvrir une pièce jointe malveillante, fournissent des informations apparemment légitimes et liées.
L’incapacité d’un employé à ouvrir un fichier malveillant joint à l’e-mail peut avoir de graves conséquences pour les entreprises et les agences gouvernementales.
Si le réseau local n’est pas configuré correctement, par exemple en isolant les équipements qui fournissent des fonctions critiques et en opérant une gestion correcte des autorisations, un attaquant peut profiter du poste de travail unique de l’employé pour se frayer un chemin à travers le LAN et les ressources partagées.
Avec des données volées, les criminels peuvent voler des informations commercialement sensibles, commettre de l’espionnage industriel, causer des dommages, voler de l’argent et bien plus encore.
Quelques étapes utiles pour bloquer les attaques APT et empêcher l’utilisation de documents Office comme levier pour attaquer l’entreprise:
1) Information et formation. Tout d’abord, les employés de l’entreprise doivent être conscients des menaces. Ils doivent savoir que des messages malveillants contenant des pièces jointes dangereuses peuvent arriver dans leurs boîtes de réception.
2) Points de terminaison sécurisés. Déjà une bonne solution pour la sécurité des terminaux individuels protège contre la majorité des menaces (ce qu’on appelle logiciels malveillants de produits de base). Le choix d’une bonne solution anti-programme malveillant capable de vérifier le comportement de chaque fichier ouvert sur le système est crucial.
3) Gestion des autorisations de compte et des ressources partagées. Dans l’entreprise, les collaborateurs et les employés ne doivent jamais disposer de comptes utilisateurs avec des droits administratifs. A cet égard, il est indispensable de vérifier que chaque utilisateur peut accéder aux ressources partagées de sa compétence exclusive.
Il est également conseillé de vérifier qu’aucune ressource sur le LAN n’est accessible sans mot de passe ou avec des informations d’identification génériques connues de groupes d’utilisateurs plus ou moins importants.
4) Adoptez une politique de sauvegarde efficace. Les utilisateurs, en particulier les employés et les sous-traitants, ne devraient jamais pouvoir accéder au contenu du NAS ou du serveur utilisé pour la sauvegarde des données. Ou plutôt, ils peuvent être activés pour accéder aux versions de sauvegarde les plus récentes mais pas aux versions précédentes des mêmes fichiers.
Dans les articles Sauvegarde, les meilleures stratégies pour protéger les données, OpenMediaVault, qu’est-ce que c’est et comment construire un NAS vous-même et Qu’est-ce que et comment fonctionne Synology Active Backup for Business, nous avons présenté plusieurs solutions pour gérer efficacement le gestion des versions données et activer la déduplication, afin de réduire l’espace requis pour le stockage des copies de sauvegarde.
5) Utilisez un produit de panneau centralisé pour la gestion des terminaux. Les outils logiciels avancés pour la surveillance de l’état du réseau local et des points de terminaison fournissent des capacités heuristiques pour détecter plusieurs types de menaces, y compris celles transmises via des documents Office malveillants.
Les solutions les plus avancées, après une première analyse, chargent les fichiers suspects dans un bac à sable pour vérifier intelligemment leur comportement et démasquer les objets dangereux.
Kaspersky Endpoint Security for Business il se compose de fonctionnalités utiles pour détecter les menaces en transit sur le réseau local. Des solutions similaires sont Protection des points de terminaison Sophos, BitDefender GravityZone (Bitdefender contre les cybermenaces nouvelles et de plus en plus complexes) e Protection des points de terminaison Malwarebytes (Malwarebytes, protégeant les PC individuels et l’ensemble du réseau d’entreprise à partir d’un seul panneau cloud).
F-Secure rend le service disponible Détection et réponse rapides qui aide les entreprises à faire face aux cyberattaques, avant, pendant ou après l’événement.
6) Gestion correcte des vulnérabilités. Outils de découverte d’actifs est analyse de vulnérabilité ils aident à minimiser la surface d’attaque en identifiant les vulnérabilités critiques qui peuvent être exploitées.
L’entreprise utilise souvent des systèmes d’exploitation et des applications obsolètes, qui contiennent des failles déjà résolues mais pour lesquelles les correctifs correspondants n’ont pas été installés. Gestion des correctifs Windows à l’aide de WSUS (Services de mise à jour Windows Server) est une excellente solution mais des outils qui aident à inventorier les logiciels installés sur chaque point final (même celles de tiers) et intervenir lors de l’installation de mises à jour de sécurité s’avèrent très utiles pour se prémunir contre les risques d’agression: Windows Defender ATP: un panneau unique pour contrôler la sécurité des appareils.
Une attention particulière doit également être portée à la mise à jour du firmware des appareils connectés en permanence au réseau et qui peuvent être rendus joignables et accessibles de l’extérieur (routeurs, NAS, caméras de sécurité, appareils IoT, …). S’ils ne sont pas correctement protégés, ces dispositifs peuvent servir de «tête de pont» pour attaquer l’ensemble de l’infrastructure de l’entreprise.
F-Secure Radar est une solution de gestion des vulnérabilités proposé par la société finlandaise qui permet de minimiser la surface d’attaque en identifiant les vulnérabilités critiques qui peuvent être exploitées par des attaquants.
7) Segmentez le réseau et séparez les systèmes critiques. Il est essentiel d’examiner et éventuellement de repenser la structure et la configuration du réseau, de vérifier les services proposés par l’entreprise, de segmenter le LAN si nécessaire et d’isoler les systèmes les plus critiques. Le réseau d’entreprise et les appareils qui y sont connectés doivent être impénétrables de l’extérieur et éventuellement utilisables uniquement après l’activation d’un VPN sécurisé.
A titre d’exemple, ce devrait être le serveur NAS pour « pêcher » sur les ressources partagées et créer la sauvegarde des fichiers (en conservant convenablement les versions précédentes) alors que ce ne devrait pas être les postes de travail individuels pour envoyer leurs données au NAS.
8) En cas de doute, l’analyse sur VirusTotal est toujours une bonne approche. Par rapport à il y a quelque temps, lorsque VirusTotal n’utilisait qu’un certain ensemble de moteurs d’analyse pour analyser les fichiers, l’outil a subi une évolution importante: aujourd’hui, en fait, des bacs à sable et de l’intelligence artificielle (ainsi que l’analyse comportementale) sont utilisés pour vérifier « le l’identité « d’un fichier et son danger potentiel: VirusTotal: guide d’utilisation du service pour vérifier l’identité des fichiers.
Sur VirusTotal, vous pouvez vérifier tous les types de fichiers: non seulement les exécutables mais aussi les documents Office.
Dans l’article Ouvrir des documents Word: comment le faire en toute sécurité, nous avons publié des conseils supplémentaires.
Découvrez d’avantage plus d’articles dans nos catégories windows, productivité ou encore Ordinateurs et internet.
Finalement Merci pour votre visite on espère que notre article Reconnaître un document Office malveillant dans l’entreprise
vous aide, n’oubliez pas de partager l’article sur Facebook, pinterest et e-mail avec les hashtags ☑️ #Reconnaître #document #Office #malveillant #dans #lentreprise ☑️!