Nel campo della sicurezza informatica, le minacce continuano a evolversi e richiedono meccanismi di difesa avanzati. Uno di questi cambiamenti nei vettori di attacco riguarda l'uso di file office privi di macro, come dimostra l'incidente "meme4chan" segnalato dai Securonix Threat Labs, che ha sfruttato la vulnerabilità CVE-2022-30190 Follina,invece delle macro per armare il documento e far cadere uno script Power Shell offuscato, e che ha preso di mira principalmente aziende manifatturiere, alberghiere, sanitarie e altre entità commerciali situate in Germania.
Anche se le minacce si sono evolute nel tempo, la tecnologia Deep CDR offre ancora una solida protezione contro questi attacchi ai file office senza macro. Questo post del blog illustra come.
Comprendere le minacce
I prodotti Microsoft ora bloccano le macro per impostazione predefinita al fine di prevenire gli attacchi basati sulle macro. Tuttavia, questa mossa ha portato a un cambiamento tattico in cui gli aggressori si rivolgono a tecniche basate su exploit zero-day per eseguire le loro intenzioni dannose, rendendo questi file Office camuffati un rischio significativo che può infiltrarsi in una rete senza essere rilevato. Nell'attacco di meme4chan, gli aggressori inviano per prima cosa un'e-mail di phishing con un file Office allegato dannoso, che sfrutta una vulnerabilità del file Microsoft Office quando viene aperto. La vulnerabilità consente agli oggetti incorporati nel file di eseguire il codice PowerShell contenente il payload dannoso. In questo modo viene aggirato lo scanner di malware, disabilitato Microsoft Defender e infine eseguito un worm dannoso chiamato XWorm.
Per le soluzioni di sicurezza e-mail convenzionali, questo attacco è impossibile da rilevare, poiché non si basa sulle macro, una modalità di attacco comunemente conosciuta. OPSWAT Email Security fornisce le funzionalità chiave per affrontare il rischio e prevenire attacchi simili.
Deep Content Disarm and Reconstruction (Deep CDR)
Deep CDR è una potente contromisura. Si tratta di una tecnologia proattiva e preventiva che essenzialmente "disarma" tutti gli oggetti attivi dannosi in un file scomponendolo in componenti e rimuovendo o sanificando elementi potenzialmente dannosi come oggetti incorporati, script e macro, indipendentemente dal fatto che si tratti di minacce note o meno. Ciò garantisce che qualsiasi contenuto dannoso all'interno del documento venga neutralizzato prima che possa essere attivato, prevenendo le minacce.
Una volta rimosso il contenuto attivo, Deep CDR ricostruisce il file nel suo formato originale, mantenendone la fruibilità e garantendone lo stato di sicurezza. Grazie alla sanificazione di ogni file, Deep CDR garantisce la continuità delle operazioni aziendali senza compromettere la sicurezza.
I vantaggi dell'applicazione di Deep CDR in MetaDefender Email Security Solution
L'efficacia di Deep CDR nel contrastare i file Office senza macro dannose deriva da:
- Protezione proattiva: Invece di basarsi su firme o modelli di minacce noti, Deep CDR disattiva tutti i contenuti attivi, neutralizzando le potenziali minacce prima che possano causare danni.
- Usabilità preservata: Deep CDR ricostruisce completamente i file con le loro funzionalità dopo la sanificazione, garantendo che la continuità aziendale non venga interrotta.
- Copertura completa: Deep CDR sanifica un'ampia gamma di tipi di file, compresi gli archivi protetti da password, un altro metodo di consegna comune per i payload dannosi.
In conclusione, l'aumento degli attacchi ai file office senza macro come meme4chan sottolinea la necessità di misure di sicurezza avanzate e proattive per le e-mail. Deep Content Disarm and Reconstruction (Deep CDR) è una tecnologia avanzata di prevenzione delle minacce contenuta nella soluzione OPSWAT's MetaDefender Email Security che protegge le organizzazioni dagli aggressori che utilizzano exploit sconosciuti e Zero-Day sanificando più di 120 tipi di file e messaggi di posta elettronica da contenuti attivi dannosi. Deep CDR garantisce che la sicurezza della posta elettronica dell'organizzazione sia pronta a combattere il panorama delle minacce informatiche in continua evoluzione.
