giovedì 25 giugno 2020

Documenti dannosi Office: Microsoft prova a bloccare i malware con una nuova funzione


I documenti Office, ne abbiamo parlato spesso, sono tra i principali vettori di malware utilizzati dai cyber attaccanti. Da oltre venti anni, da quando cioè esiste Office, l'abitudine di nascondere malware nei documenti, sopratutto via macro, è solo cresciuta: d'altronde, nascondere i malware in questi documenti e inviarli tramite email dal contenuto ingannevole che inviti l'utente ad aprirli, resta uno dei mezzi più efficaci per i cyber attaccanti.

Per approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum

Microsoft ha provato spesso a mitigare il problema in vari modi: una delle più note, ad esempio, è la Visualizzazione Protetta (o Sola lettura). Molti vi sono incappati e l'hanno trovata probabilmente fastidiosa, perchè i file così aperti non sono modificabili: in realtà questa modalità serve a proteggere la sicurezza degli utenti quando un file Office viene trasmesso e scaricato via email. Questa modalità si attiva per impedire l'abilitazione di contenuti, ad esempio le macro che sono nei fatti il veicolo, nella stragrande maggioranza dei casi, del malware stesso: con questa modalità le macro ad esempio non vengono attivate a meno che l'utente non dia indicazione contraria. 

Indubbiamente questa, come altre funzionalità di protezione, hanno in parte ridotto il problema, ma gli attaccanti hanno aggirato le nuove difese, producendo tipologie diverse di malware ma, sopratutto, affinando le tecniche di ingegneria sociale per "coinvolgere" la vittima nella truffa convincendola ad abilitare volontariamente i contenuti  e le macro. 

Microsoft adesso ci riprova, introducendo una nuova funzione nel pacchetto Office 365. La funzione si chiama Documenti Attendibili (o Safe Documents nella versione inglese) e introduce un alto livello di controllo sulla procedura di apertura di file che hanno provenienza sospetta o difficilmente verificabile. Resta valida la protezione offerta dalla Visualizzazione protetta, che impedisce l'attivazione di exploit presenti nel documento, ma si aggiunge un nuovo passaggio: il file sospetto infatti non viene solo aperto in visualizzazione protetta, ma viene anche inviato al software di protezione Microsoft Defender Advanced Threat Protection (ATP), che procede a verificarne la pericolosità. 



In dettaglio, ogni volta che si scarica un file dalla rete indipendentemente dalla fonte (app di messaggistica, browser, email ecc..) Windows aggiunge un attributo chiamato Zone.Identifier col quale indica esplicitamente l'origine di ciascun contenuto. Così, al momento in cui l'utente apre il file con la Suite Office, viene immediatamente avvisato dei rischi che potrebbe correre aprendo il documento. La verifica per "piazzare" gli attributi avviene prima che l'utente possa abbandonare la Visualizzazione protetta senza aver valutato se il documento sia o meno sicuro. 

Il Microsoft Defender Advanced Threat Protection (ATP), che si occuperà di analizzare il file, è una piattaforma di sicurezza Microsoft che esegue analisi in cloud. La funzione Documenti Attendibili aumenta quindi il livello dei controlli prima dell'apertura di un documento: assieme alla protezione di un solido software antivirus con protezione email e sistema di individuazione comportamentale può offrire una protezione quasi impenetrabile. 

Nessun commento:

Posta un commento