image

Windows Firewall kan besmetting via Word-macro's voorkomen

maandag 26 december 2016, 08:58 door Redactie, 10 reacties

Het gebruik van macro's in Word-documenten is nog altijd een populaire methode voor internetcriminelen om computers met malware te infecteren, maar het aanpassen van de Windows Firewall kan dergelijke besmettingen voorkomen, zo meldt Tom Webb, vrijwilliger bij het Internet Storm Center (ISC).

In veel gevallen bevat het Word-document zelf niet de malware, maar zal de macro die op de computer downloaden en uitvoeren. Dit gebeurt regelmatig via een PowerShell-script. Via de standaard in Windows ingebouwde firewall is het echter mogelijk om alle netwerkverbindingen voor Powershell te blokkeren. Zelfs als een gebruik in dit geval het Word-document opent en de macro's inschakelt zal er geen malware op het systeem worden gedownload, aldus Webb. Hij merkt op dat een dergelijke blokkade ook voor wscript en cscript zou moeten werken.

Reacties (10)
26-12-2016, 09:38 door Anoniem
Handig dat deze aanpassing zo eenvoudig, voor iedereen makkelijk te impliceren methode betreft.
Kan echt iedereen zonder meer aan zijn Windows Firewall toevoegen.

Niet dus, heb je als gemiddelde Windows gebruiker helemaal niets aan.
26-12-2016, 13:27 door [Account Verwijderd]
[Verwijderd]
26-12-2016, 20:45 door Anoniem
Nounou,

Zijn we hier getuige van de wedergeboorte van het inzicht rondom het nut van een firewall met black-, of nog effectiever, whitelisting?

Firewall + whitelisting, misschien wel effectiever dan een virusscanner.
Maar ja, wat ga je dan doen als dat scriptje via je browser een vers besmette webpagina wil openen?
27-12-2016, 02:18 door Anoniem
Dan heb je een script blokker, die dat lekker tegenhoudt. Gebruik NoScript of uMatrix en een goede adblokker.
Naast een goede firewall en IDS scheelt dat al weer een hele slok op een borrel.
27-12-2016, 09:00 door Anoniem
Dit gaat dus uit van het feit dat je malware binnenhaalt die zijn installer exclusief via Powershell download. Leuk, maar ik betwijfel de daadwerkelijke effectiviteit hiervan.
Het lijkt me gaaf alls Windows Defender een integratie krijgt met het office pakket om macro's preventief op signatures te scannen, of deze in een sandbox te laten uitvoeren.
27-12-2016, 09:14 door Anoniem
dus weer terug op de base64 encoded executable direct in de macro?
27-12-2016, 09:26 door Anoniem
Binisoft, tip van Bruce.

Is admin tool voor maken van FW regels, zoals genoemd in een link bovenaan De FW doet het werk
Werkt perfect, tip van mij. Nog steeds niet voor iedereen.
27-12-2016, 15:21 door Anoniem
Door Anoniem: Nounou,

Zijn we hier getuige van de wedergeboorte van het inzicht rondom het nut van een firewall met black-, of nog effectiever, whitelisting?

Firewall + whitelisting, misschien wel effectiever dan een virusscanner.
Maar ja, wat ga je dan doen als dat scriptje via je browser een vers besmette webpagina wil openen?

Tja, verzin daar nou eens een oplossing voor en deel die ff met ons wijsneus. Daar hebben we meer aan dan alleen maar zeuren wat er allemaal niet goed is aan deze tip.
27-12-2016, 22:08 door Anoniem
Door Anoniem:
Door Anoniem: Nounou,

Zijn we hier getuige van de wedergeboorte van het inzicht rondom het nut van een firewall met black-, of nog effectiever, whitelisting?

Firewall + whitelisting, misschien wel effectiever dan een virusscanner.
Maar ja, wat ga je dan doen als dat scriptje via je browser een vers besmette webpagina wil openen?

Tja, verzin daar nou eens een oplossing voor en deel die ff met ons wijsneus. Daar hebben we meer aan dan alleen maar zeuren wat er allemaal niet goed is aan deze tip.

Macro functionaliteit in Office uitschakelen.
En niet meer inschakelen.
Hopelijk kom je eruit.

Doeidoeeeeiii,
wijsneusje
28-12-2016, 13:01 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Nounou,

Zijn we hier getuige van de wedergeboorte van het inzicht rondom het nut van een firewall met black-, of nog effectiever, whitelisting?

Firewall + whitelisting, misschien wel effectiever dan een virusscanner.
Maar ja, wat ga je dan doen als dat scriptje via je browser een vers besmette webpagina wil openen?

Tja, verzin daar nou eens een oplossing voor en deel die ff met ons wijsneus. Daar hebben we meer aan dan alleen maar zeuren wat er allemaal niet goed is aan deze tip.

Macro functionaliteit in Office uitschakelen.
En niet meer inschakelen.
Hopelijk kom je eruit.

Doeidoeeeeiii,
wijsneusje

Ah, je kan het dus wel! Doe daar in het vervolg je voordeel mee. Scheelt een hoop ergenis. In iedergeval bij mij. Dank.

Mvg. Wijsneusje.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.