Notre contribution à la communauté de la sécurité de l'information et des systèmes d'information

Les attaques se basant sur des macros Microsoft Office pour dropper des malwares sont depuis un certain moment à la mode. Ce vecteur, très utilisé il y a plusieurs années, était tombé en désuétude et, conformément aux prédictions des experts du secteur, il a refait surface il y a maintenant quelques temps avec, entre autres, les campagnes Dridex.

Il est néanmoins peu connu que Microsoft ait intégré, au fil des années, différents mécanismes de protection contre les macros malveillantes. La philosophie de ces protections est de ne pas affecter l’utilisateur dans son travail par le fait d’afficher des messages de prévention dans l’interface lors de l’ouverture d’un message dangereux. Des réglages plus intrusifs sont possibles par la désactivation pure et simple des macros.

Microsoft a publié récemment un billet de blog dans lequel ils détaillent les nouvelles protections apportées sur le sujet par Office 2016. De nouvelles fonctionnalités, activables par GPO, permettent en effet de restreindre fortement les exécutions des macros via la définition de scénarios à haut risque et de politiques d’exécution associées.

Pour les organisations ne pouvant pas migrer prochainement vers Office 2016, les versions plus anciennes permettent elles aussi, de manière plus limitée, de restreindre les possibilités des macros (voir ici, ici ou ici). Pour cela il faut utiliser Office Customization Tool (OCT), un outil permettant de définir les paramètres de sécurité suivants : Trusted Publishers, Trusted Locations, Default Security Settings,  qui permettent de définir des domaines de sécurité. Les domaines en question peuvent ensuite se voir associer des politiques.

Ainsi on peut imaginer les politiques suivantes :

  • les fichiers venant de l’extérieur ont les macros désactivées avec notification à l’utilisateur
  • les fichiers issus de sources internes (partages etc.) sont considéré de confiance

macro Microsoft Office

Ces GPO offrent une protection basique. Néanmoins, la facilité de déploiement, comparée à des solutions antivirales sur les infrastructures mail ou autre sandbox d’analyse, fait que le gain apporté par rapport au coût est remarquable.

By | 2017-02-02T12:33:51+00:00 31/03/2016|Technique|