Microsoft bloqueará macros e ataques de força bruto do RDP

Microsoft bloqueará macros e ataques de força bruto do RDP. Objetivo é fechar a porta que cibercriminosos estão usando.

Três semanas atrás, a Microsoft disse que iria pausar o lançamento de um novo recurso de segurança amado por especialistas em segurança, mas temido por empresas menores : bloquear macros VBA por padrão de todos os documentos baixados da Internet.

A pausa acabou!

Uma postagem no blog divulgada na semana passada indica que o lançamento do recurso começará para usuários em geral em 27 de julho.

As macros VBA fornecem funcionalidade de programação adicional para programas como o Excel. Mas adicionar código que será executado quando um documento aparentemente inócuo for aberto provou ser perigoso. As macros têm sido um dos principais vetores de ataque desde o malware Concept em 1995.

A política da gigante de TI corporativa de bloquear macros do Visual Basic for Applications (VBA) em documentos do Office baixados por padrão foi ativada mais uma vez após uma breve pausa para responder aos comentários de usuários que estavam tendo dificuldades com a defesa de segurança.

Também nesta semana, a Microsoft habilitou um padrão no Windows 11 projetado para bloquear ou retardar ataques óbvios de força bruta do Remote Desktop Protocol (RDP).

Espera-se que ambas as políticas fechem os caminhos que os criminosos usam há anos para invadir sistemas, roubar dados e espalhar códigos maliciosos.

De qualquer forma, o e-mail continua sendo o vetor predominante alavancado pelos adversários para acesso inicial, levando a uma ampla variedade de ataques cibernéticos prejudiciais”, disse Brian Donohue, principal especialista em segurança da Red Canary, à SC Media por e-mail quando a pausa foi anunciada pela primeira vez . .

A atualização da Microsoft marcará documentos baixados da Internet para análise adicional do usuário antes de executar macros. Quando esse arquivo for aberto, a Microsoft colocará um banner vermelho na parte superior da página informando que as macros foram bloqueadas com um link para um artigo explicando por que elas são perigosas e como reativar macros para o arquivo se o usuário achar que eles estão seguros.

Problema de macro

A questão das macros tornou-se particularmente complicada para a gigante do software.

“Durante anos, o Microsoft Office forneceu recursos de automação poderosos chamados de conteúdo ativo, o tipo mais comum são macros”, escreveu Kellie Eickmeyer, principal gerente de produtos da Microsoft, em um post no blog em fevereiro, quando o titã da TI anunciou seus planos de bloquear por padrão macros em execução em arquivos do Office baixados ou originados da Internet.

Embora tenhamos fornecido uma barra de notificação para avisar os usuários sobre essas macros, os usuários ainda podem decidir ativá-las clicando em um botão. Os criminosos enviam macros em arquivos do Office para usuários finais que os habilitam sem saber, cargas maliciosas são entregues e o impacto pode ser grave, incluindo malware, identidade comprometida, perda de dados e acesso remoto.”

Eickmeyer acrescentou que “para a proteção de nossos clientes, precisamos dificultar a ativação de macros em arquivos obtidos da Internet“.

A política era bloquear essas macros específicas por padrão no Access, Excel, PowerPoint, Visio e Word, embora após alguns meses de feedback – às vezes negativo – dos usuários, a Microsoft interrompeu temporariamente a iniciativa. As reclamações variaram de críticas sobre como o bloqueio foi implementado até o impacto negativo que teve nos sistemas de alguns usuários.

Em uma atualização desta semana para o anúncio original, Eickmeyer escreveu que a Microsoft está “retomando a implementação dessa mudança no Canal Atual. Com base em nossa análise dos comentários dos clientes, fizemos atualizações tanto para o usuário final quanto para nossa documentação de administração de TI para deixar mais claro quais opções você tem para diferentes cenários.

Os usuários finais podem clicar aqui para obter mais informações, enquanto os administradores de TI podem acessar aqui .

Voltando no tempo

As macros têm sido um problema de segurança há anos, com a Microsoft em 2016 lançando uma ferramenta que permitia aos administradores definir políticas sobre quando e onde esses scripts podiam ser executados. Além disso, os usuários foram questionados se eles realmente queriam executar macros antes de permitir sua execução.

Os desafios continuam até agora. O grupo de inteligência de ameaças Wolf Security da HP escreveu este mês sobre os arquivos OpenDocument sendo usados ​​para distribuir malware do Windows. Esses documentos foram enviados para as marcas por e-mail e, se abertos, o usuário seria questionado se os campos com referências a outros arquivos devem ser atualizados e se clicar em “sim”, um arquivo Excel é aberto e outro prompt pergunta se as macros devem ser habilitadas . Se o usuário habilitar as macros, seus sistemas serão infectados com o desagradável backdoor AsyncRAT de código aberto.

Em relação aos ataques de força bruta RDP, as compilações do Windows 11 a partir de agora incluem uma política de bloqueio de conta padrão que deve ser capaz de pelo menos desacelerar possíveis invasores.

Em ataques de força bruta, os cibercriminosos usam ferramentas automatizadas para adivinhar a senha da conta de alguém: as ferramentas percorrem uma enorme lista de senhas até que uma delas funcione e faça login na conta da vítima. De acordo com um tweet de Dave Weston, vice-presidente de segurança corporativa e de sistemas operacionais da Microsoft, essas ferramentas são usadas para espalhar ransomware e cometer outros crimes.

A política padrão para compilações do Windows 11 – especificamente, Insider Preview 22528.1000 e mais recente – bloqueará automaticamente as contas por 10 minutos após 10 tentativas de login falharem. Os usuários podem ajustar isso, alterando o número de tentativas de login com falha que acionam um bloqueio e por quanto tempo a conta ficará bloqueada.

Em seu tweet, Weston escreveu que “esse controle tornará a força bruta muito mais difícil, o que é incrível“.

Em um artigo no ano passado, pesquisadores do Malwarebytes Labs detalharam os ataques de força bruta RDP, dizendo que eles “representam um perigo sério e contínuo para computadores Windows conectados à Internet”.

Embora existam muitas maneiras de invadir um computador conectado à Internet, um dos alvos mais populares é o Remote Desktop Protocol (RDP), um recurso do Microsoft Windows que permite que alguém o use remotamente“, escreveram. “É uma porta de entrada para o seu computador que pode ser aberta da Internet por qualquer pessoa com a senha correta.

Os cabeças de ovos do Malwarebytes Labs delinearam várias maneiras de se proteger contra ataques de força bruta RDP, desde desativar permanentemente o RDP até usar senhas fortes, autenticação multifator e uma VPN, além de limitar o número de suposições antes que uma conta seja bloqueada .

Fonte: SC Media & The Register

Veja também:

Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

3 Trackbacks / Pingbacks

  1. Ataques a gamers chegam a quase 6 milhões em 12 meses
  2. Pesquisa global da Fortinet revela desafios críticos de segurança de OT
  3. Backdoor furtivo do PowerShell disfarçado de atualização do Windows – Neotel Segurança Digital

Deixe sua opinião!