微软正试图关闭网络犯罪分子用来攻击用户和网络的几条路线。
这家企业 IT 巨头默认阻止下载的 Office 文档中的 Visual Basic for Applications (VBA) 宏的策略在短暂暂停后再次激活,以解决用户在安全防御方面遇到困难的反馈。
同样在本周,微软在 Windows 11 中启用了一项默认设置,旨在阻止或减缓明显的远程桌面协议 (RDP) 暴力攻击。
这两项政策都希望关闭犯罪分子多年来一直使用的途径,以强行侵入系统、窃取数据和传播恶意代码。
对于这家软件巨头来说,宏问题已经成为一个特别棘手的问题。
“多年来,Microsoft Office 提供了强大的自动化功能,称为活动内容,最常见的是宏,”微软首席产品经理 Kellie Eickmeyer 在 2 月份的博客文章中写道,当时这家 IT 巨头宣布了默认阻止的计划在下载的或来自 Internet 的 Office 文件中运行的宏。
“虽然我们提供了一个通知栏来警告用户这些宏,但用户仍然可以通过单击一个按钮来决定启用宏。不良行为者将 Office 文件中的宏发送给在不知情的情况下启用它们的最终用户,传递恶意有效负载以及影响可能很严重,包括恶意软件、身份泄露、数据丢失和远程访问。”
Eickmeyer 补充说:“为了保护我们的客户,我们需要让从互联网获取的文件中启用宏变得更加困难。”
该政策是在 Access、Excel、PowerPoint、Visio 和 Word 中默认阻止这些特定的宏,尽管在几个月(有时是负面的)用户反馈之后,微软暂时停止了这一举措。投诉的范围从批评如何实施阻止到它对某些用户系统的负面影响。
在本周对原始公告的更新中,Eickmeyer 写道,微软“正在恢复在 Current Channel 中推出这一变化。根据我们对客户反馈的审查,我们已经对最终用户和我们的 IT 管理员文档进行了更新,以更清楚地说明您在不同情况下有哪些选择。”
最终用户和IT 管理员可以查看下面链接了解更多信息:
https://support.microsoft.com/en-us/topic/a-potentially-dangerous-macro-has-been-blocked-0952faa0-37e7-4316-b61d-5b5ed6024216
https://docs.microsoft.com/en-gb/DeployOffice/security/internet-macros-blocked
多年来,宏一直是一个安全问题,微软在 2016 年发布了一个工具,允许管理员围绕允许这些脚本运行的时间和地点设置策略。此外,在允许宏运行之前,还会询问用户是否真的想运行宏。
即使是现在,挑战仍在继续。HP 的 Wolf Security 威胁情报小组本月撰写了有关用于分发 Windows 恶意软件的 OpenDocument 文件的文章。这些文档通过电子邮件发送给标记,如果打开,将询问用户是否应该更新引用其他文件的字段,如果他们单击“是”,则打开一个 Excel 文件,另一个提示询问是否应该启用宏. 如果用户启用宏,他们的系统就会感染开源的 AsyncRAT 后门。
https://threatresearch.ext.hp.com/stealthy-opendocument-malware-targets-latin-american-hotels/
关于 RDP 暴力攻击,从现在开始构建的 Windows 11 包含一个默认帐户锁定策略,该策略至少应该能够减缓潜在的入侵者。
在暴力攻击中,网络犯罪分子使用自动化工具来猜测某人的帐户密码:这些工具会遍历大量密码短语,直到其中一个有效并登录到受害者的帐户。根据微软企业和操作系统安全副总裁戴夫韦斯顿的推文,这些工具被用来传播勒索软件和犯下其他罪行。
Windows 11 版本(特别是 Insider Preview 22528.1000 及更高版本)的默认策略将在 10 次尝试登录失败后自动锁定帐户 10 分钟。用户可以对此进行调整,更改触发锁定的失败登录尝试次数以及帐户将被锁定多长时间。
在他的推文中,韦斯顿写道:“这种控制将使暴力破解更加困难,这太棒了。”
在去年的一篇文章中,Malwarebytes Labs 的研究人员详细介绍了 RDP 暴力攻击,称它们“对连接互联网的 Windows 计算机构成了严重的、持续的危险”。
“虽然有很多方法可以侵入连接到 Internet 的计算机,但最受欢迎的目标之一是远程桌面协议 (RDP),这是 Microsoft Windows 的一项功能,允许某人远程使用它,”他们写道。“它是你电脑的前门,任何人只要有正确的密码,就可以从互联网上打开它。”
Malwarebytes Labs 的研究人员概述了多种防止 RDP 暴力攻击的方法,从永久关闭 RDP 到使用强密码、多因素身份验证和 VPN,以及在帐户被锁定之前限制猜测次数。
原文始发于微信公众号(网络研究院):微软关闭了两种攻击途径:Office 宏、RDP 暴力破解
