Dans le domaine de la cybersécurité, les menaces continuent d'évoluer, d'où la nécessité de mettre en place des mécanismes de défense avancés. L'un de ces changements dans les vecteurs d'attaque implique l'utilisation de fichiers bureautiques sans macros, comme le montre l'incident "meme4chan" signalé par Securonix Threat Labs, qui a exploité la vulnérabilité CVE-2022-30190 Follina -au lieu de macros pour armer le document et déposer un script Power Shell obfusqué, et ciblant principalement les entreprises de fabrication, d'hôtellerie, de soins de santé et d'autres entités commerciales situées en Allemagne.
Même si les menaces ont évolué au fil du temps, la technologie Deep CDR offre toujours une protection solide contre ces attaques de fichiers bureautiques sans macro. Ce billet de blog illustrera comment.
Comprendre les menaces
Les produits Microsoft bloquent désormais les macros par défaut afin de prévenir les attaques basées sur les macros. Toutefois, cette mesure a entraîné un changement tactique : les attaquants se tournent vers des techniques basées sur des exploits de type "zero-day" pour exécuter leurs intentions malveillantes, ce qui fait de ces fichiers Office déguisés un risque important susceptible d'infiltrer un réseau sans être détecté. Dans l'attaque meme4chan, les attaquants envoient d'abord un courriel d'hameçonnage avec un fichier Office malveillant en pièce jointe, qui exploite une vulnérabilité dans le fichier Microsoft Office lorsqu'il est ouvert. Cette vulnérabilité permet aux objets intégrés dans le fichier d'exécuter un code PowerShell contenant une charge utile malveillante. Ce code contourne l'analyseur de logiciels malveillants, désactive Microsoft Defender et exécute un ver malveillant appelé XWorm.
Pour les solutions classiques de sécurité du courrier électronique, cette attaque est impossible à détecter, car elle ne s'appuie pas sur des macros, un mode d'attaque bien connu. OPSWAT La solutionEmail Security offre les capacités essentielles pour faire face au risque et prévenir des attaques similaires.
Deep Content Disarm and Reconstruction (Deep CDR)
Deep CDR constitue une contre-mesure puissante. Il s'agit d'une technologie proactive et préventive qui "désarme" tous les objets actifs nuisibles d'un fichier en le décomposant et en supprimant ou en assainissant les éléments potentiellement malveillants tels que les objets intégrés, les scripts et les macros, qu'il s'agisse de menaces connues ou non. Cela garantit que tout contenu malveillant contenu dans le document sera neutralisé avant qu'il ne puisse être activé, prévenant ainsi les menaces.
Une fois le contenu actif supprimé, Deep CDR reconstruit le fichier dans son format d'origine, en préservant sa convivialité tout en garantissant sa sécurité. En assainissant chaque fichier, Deep CDR garantit la continuité des opérations commerciales sans compromettre la sécurité.
Les avantages de l'application de Deep CDR dans MetaDefender Email Security Solution
L'efficacité de Deep CDR dans la lutte contre les fichiers bureautiques malveillants sans macro s'explique par les facteurs suivants :
- Protection proactive : Au lieu de s'appuyer sur des signatures ou des modèles de menaces connus, Deep CDR désarme tous les contenus actifs, neutralisant ainsi les menaces potentielles avant qu'elles ne causent des dommages.
- Utilisabilité préservée : Deep CDR reconstruit entièrement les fichiers avec leurs fonctionnalités après les avoir assainis, ce qui garantit que la continuité des activités n'est pas perturbée.
- Couverture complète : Deep CDR assainit un large éventail de types de fichiers, y compris les archives protégées par un mot de passe, qui constituent une autre méthode courante de transmission de charges utiles malveillantes.
En conclusion, l'augmentation des attaques de fichiers bureautiques sans macro comme meme4chan souligne la nécessité de mesures avancées et proactives de sécurité du courrier électronique. Deep Content Disarm and Reconstruction (Deep CDR) est une technologie avancée de prévention des menaces dans la solution MetaDefender Email Security de OPSWAT qui protège les organisations contre les attaquants utilisant des exploits inconnus et Zero-Day en nettoyant plus de 120 types de fichiers et d'e-mails du contenu actif malveillant. Deep CDR garantit que la sécurité des e-mails de votre organisation est prête à lutter contre le paysage en constante évolution des cybermenaces.
