Microsoft waarschuwt voor e-mails met JavaScript-bijlagen
Microsoft heeft een waarschuwing afgegeven voor spamberichten die een JavaScript-bestand als bijlage bevatten en de computer met malware proberen te infecteren, waaronder de Locky-ransomware. De JavaScript-bijlagen zitten weer verpakt in een rar- of zip-bestand, zegt Alden Pornasdoro van Microsoft.
Naast JavaScript-bestanden gebruiken internetcriminelen ook nog Office-documenten met kwaadaardige macro's om ransomware te verspreiden. Volgens Microsoft kan een computer via een JavaScript-bestand sneller worden besmet. "Het is interessant om op te merken dat een Office-bijlage met kwaadaardige macro's meestal twee of meer klikken vereist om het document te openen. Eén klik voor het document en een andere klik om de macro in te schakelen. Aan de andere kant vereist de JavaScript-bijlage slechts één of twee klikken om te worden uitgevoerd", merkt Pornasdoro op.
Hij stelt verder dat het zeer bijzonder is voor mensen om JavaScript-bestanden als bijlage te versturen. Wie een dergelijk bestand ontvangt moet die dan ook niet openen. Tevens adviseert Pornasdoro aan organisaties om AppLocker in te schakelen zodat dubieuze software niet kan worden uitgevoerd. Daarnaast wordt beheerders aangeraden om macro's in Office-programma's uit te schakelen.
Update
Het Finse F-Secure heeft advies gegeven hoe de Windows Script Host kan worden uitgeschakeld, zodat JavaScript-bestanden niet meer zijn te openen.
De meeste eindgebruikers hebben geen idee waar de man het over heeft. Op relevante systeemontwikkelaars als Microsoft rust de (dure) plicht te zorgen dat hun programmatuur enige mate van bescherming biedt en wanneer de eindgebruiker moet besluiten over het openen van een bestand, deze op behoorlijke wijze informeren - en omdat het bij MS in de regel om closed source software gaat, rust die plicht dan exclusief op hen.
Dat betekent dat meldingen aan gebruikers begrijpelijk en zinnig moeten zijn. MS excelleert in meldingen met (automatische?) vertalingen die abra cadabra opleveren, keuzeomschrijvingen die met de beste wil, ook voor redelijk geïnformeerde gebruikers, niet duidelijk weten te maken wat de keuze dan is, enz. enz. enz. Voor een bedrijf dat al tientallen jaren meer dan 85% marge heeft op haar producten is de kwaliteit en de afwerking a bloody shame. Of het is dat de gebruikers zo inert en dociel zijn dat ze dit pikken.
Oef, ik heb gezegd.
De meeste eindgebruikers hebben geen idee waar de man het over heeft. Op relevante systeemontwikkelaars als Microsoft rust de (dure) plicht te zorgen dat hun programmatuur enige mate van bescherming biedt en wanneer de eindgebruiker moet besluiten over het openen van een bestand, deze op behoorlijke wijze informeren - en omdat het bij MS in de regel om closed source software gaat, rust die plicht dan exclusief op hen.
Dat betekent dat meldingen aan gebruikers begrijpelijk en zinnig moeten zijn. MS excelleert in meldingen met (automatische?) vertalingen die abra cadabra opleveren, keuzeomschrijvingen die met de beste wil, ook voor redelijk geïnformeerde gebruikers, niet duidelijk weten te maken wat de keuze dan is, enz. enz. enz. Voor een bedrijf dat al tientallen jaren meer dan 85% marge heeft op haar producten is de kwaliteit en de afwerking a bloody shame. Of het is dat de gebruikers zo inert en dociel zijn dat ze dit pikken.
Oef, ik heb gezegd.
Je kan Microsoft nu afvallen, maar het grootste probleem zit hem bij de gebruikers. Die openen ook gewoon alles, en maakt niet uit hoe het er uit ziet. Link in een vreemde Email, gewoon openen, en de download openen. Immers dat beschreef de Email toch.
Waarom je op je zakelijke Email account, dan in eens een Email ontving van Ziggo, is even een tweede.
Het maakt niet uit welk OS's je hiervoor neerzet, eindgebruikers weten altijd problemen er mee te veroorzaken.
Dus OpenSource, Closed Source maakt hierin helemaal niet uit. En de laatste tijd laat het ook zien, dat dit ook niet echt uitmaakt. Beide type sources bevat grote fouten die niemand ziet.
De meeste eindgebruikers hebben geen idee waar de man het over heeft. Op relevante systeemontwikkelaars als Microsoft rust de (dure) plicht te zorgen dat hun programmatuur enige mate van bescherming biedt en wanneer de eindgebruiker moet besluiten over het openen van een bestand, deze op behoorlijke wijze informeren - en omdat het bij MS in de regel om closed source software gaat, rust die plicht dan exclusief op hen.
Dat betekent dat meldingen aan gebruikers begrijpelijk en zinnig moeten zijn. MS excelleert in meldingen met (automatische?) vertalingen die abra cadabra opleveren, keuzeomschrijvingen die met de beste wil, ook voor redelijk geïnformeerde gebruikers, niet duidelijk weten te maken wat de keuze dan is, enz. enz. enz. Voor een bedrijf dat al tientallen jaren meer dan 85% marge heeft op haar producten is de kwaliteit en de afwerking a bloody shame. Of het is dat de gebruikers zo inert en dociel zijn dat ze dit pikken.
Oef, ik heb gezegd.
Uhhh, sorry maar:
- Een bijlage openen met zip/rar van onbekende afkomst.
- Daarna ook nog eens een .JS extentie starten...
Denk dat problem ook grotendeels bij de gebruiker ligt...
Welk OS je ook hebt, als je zomaar bestanden opent kan je altijd problemen veroorzaken.
Ik vind het juist wel prettig dat als ik op een .js file klik, mijn code editor geopend wordt, een niet een andere willekeurige tekstverwerker.
Overigens zijn die instellingen op mijn PC nog ongewijzigd sinds 05-02-2016:
.js=JSFile
C:\>ftype jsfile
jsfile=C:\Windows\System32\Notepad.exe %1
Nb. voordat ik op 05-02-2016 het register wijzigde, luidde de output van dat laatste commando als volgt:
Dat is minder ingrijpend dan het volledig uitschakelen van de Windows Scripting Host (wscript.exe) zoals F-Secure voorstelt in [4].
Daarmee bedoel ik dat het geheel uistchakelen van wscript impact zou kunnen hebben op ingebouwde Windows functionaliteit, maar anderzijds verhindert mijn tip natuurlijk niet het uitvoeren van andere door wscript geïnterpreteerde bestanden (met extensies zoals .jse, .vbe, .wsf, en .wsh). Ik vermoed dat de tip van F-Secure het starten van c:\windows\system32\wscript.exe wel zal verhinderen, maar of die maatregel ook het starten van het broertje van wscript.exe, nl. c:\windows\system32\cscript.exe, weet te voorkomen, weet ik niet (het verschil tussen die 2 ken ik ook niet goed, en mijn tip schakelt cscript.exe ook niet uit).
[2] https://www.security.nl/posting/427538/Australi%C3%83%C2%AB+waarschuwt+voor+cv%27s+met+ransomware
[3] https://isc.sans.edu/forums/diary/A+trip+through+the+spam+filters+more+malspam+with+zip+attachments+containing+js+files/20697/
[4] https://labsblog.f-secure.com/2016/04/19/how-to-disable-windows-script-host/
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.