Excel : un problème de sécurité qui dure depuis 30 ans

Excel : un problème de sécurité qui dure depuis 30 ans

Un chercheur en matière de menaces explique pourquoi il peut être difficile de faire la distinction entre les macros Excel légales et celles qui transmettent des logiciels malveillants.

En 1992, Microsoft a lancé Excel 4.0 pour Windows 3.0 et 3.1, et de nombreuses entreprises l’utilisent encore pour leurs anciennes opérations. Le problème est que les acteurs malveillants ont commencé à utiliser les feuilles et les macros Excel comme une nouvelle méthode de diffusion de logiciels malveillants.
Lors d’une conférence à la DEFCON 29, Tal Leibovich, responsable de la recherche sur les menaces chez Deep Instinct, a expliqué pourquoi ce langage de script traditionnel a été le vecteur d’une augmentation récente de la diffusion de logiciels malveillants. La semaine dernière, Leibovich et Elad Ciuraru ont présenté “Identifying Excel 4.0 Macro strains via Anomaly Detection”. Concernant Excel, apprenez à faire un menu déroulant Excel en cliquant sur le lien précédent.Deep Instinct est une entreprise de cybersécurité qui se concentre sur la sécurité des points de terminaison et utilise l’apprentissage profond pour prévenir les cyberattaques.

Ce type d’agression a connu une hausse en mars 2020, selon les entreprises de sécurité. En mars, Microsoft a introduit une nouvelle protection d’exécution pour les macro-malwares Excel 4.0. Les pirates employant des macros Excel 4.0 dans des attaques ont augmenté de manière significative au cours des deux dernières années, selon Leibovich.

“On pourrait penser que les assauts sur cet ancien langage de script seraient extrêmement limités”, a-t-il ajouté, “mais nous voyons de nouvelles méthodes d’obfuscation.”

À DEFCON 29, Leibovich a donné une conférence dans le cadre du village de l’IA. Un certain nombre de ces sessions sont disponibles sur les chaînes YouTube et Twitch du groupe.

Les pirates utilisent des stratégies inédites pour développer de nouveaux vecteurs d’attaque. Selon M. Leibovich, les pirates utilisent également des commandes Excel et des appels API supplémentaires à Windows.

“Vous pouvez construire une attaque en utilisant une commande brève dans une zone et une autre ici dans la feuille Excel et en sautant entre diverses cellules”, a-t-il déclaré. “C’est ainsi que beaucoup d’attaquants construisent des logiciels malveillants indétectables”.

Le problème est que la fonctionnalité légale d’Excel n’est pas nécessairement nuisible.

Selon lui, “de nombreuses entreprises ont des fichiers hérités qui utilisent des macros”.

La difficulté, a-t-il ajouté, est de développer un moteur de détection capable d’identifier les menaces réelles tout en évitant les faux positifs et le bruit.

“Parce que la fonction d’ouverture automatique d’Excel est si importante et que tout le monde l’utilise”, a-t-il déclaré, “vous devez identifier l’objectif particulier de la macro pour éviter les fausses alertes.” “L’apprentissage profond est la principale technique que nous employons pour cela”.

Comment se défendre contre les logiciels malveillants qui utilisent des macros ?

Il est simple de comprendre pourquoi ce danger a été si persistant à travers le temps. Le développement de Visual Basic for Applications en macros Microsoft est principalement utilisé par les vers et les virus de macro, alors que Microsoft Office est la suite de productivité la plus utilisée. Selon Aaron Card, directeur de la criminalistique numérique et de la réponse aux incidents chez NTT Ltd, le calcul de base est que Microsoft est dominant dans cet espace et utilise Visual Basic for Applications, qui est hautement et facilement ciblé, et de nombreuses organisations ne traitent pas toujours correctement le problème des macros.

Selon M. Card, le blocage de tous les fichiers contenant des macros et intégrés à des macros par courrier électronique ou par les voies de transfert de fichiers est l’option nucléaire pour se protéger contre ce type de logiciels malveillants.

Toute entreprise peut également créer une stratégie de groupe pour “désactiver toutes les macros”, avec ou sans préavis, au cas où un fichier passerait entre les mailles du filet ou si quelqu’un était autorisé à exécuter un fichier à partir d’un disque ou d’un support externe”, ajoute-t-il.

Les macros peuvent également être bloquées par la plupart des logiciels antivirus de point d’accès.

“Si votre entreprise a vraiment besoin de la fonctionnalité des macros pour fonctionner, je vous recommande d’exécuter toutes les fonctionnalités et tous les utilisateurs dans des environnements de bureau virtuels afin de minimiser considérablement la propagation ou les dommages causés par tout virus de macro restant”, a-t-il ajouté.

Selon M. Card, l’éducation des utilisateurs en matière de cybersécurité est plus une question d’esthétique que d’effet. Selon lui, l’éducation des utilisateurs ne réussit que si elle est réalisée et évaluée de manière répétée. La mise en place de répercussions réelles lorsque les individus enfreignent les règles est le deuxième élément essentiel.

Selon M. Card, deux techniques distinctes peuvent être utilisées pour influencer le comportement des utilisateurs. La première consiste à inclure dans les évaluations de performance une formulation explicite sur la conduite éthique en matière de cybersécurité.

“Un membre de l’équipe a-t-il, par exemple, peu ou pas d’antécédents de clics sur des courriels d’hameçonnage ou de travail sur un appareil non sécurisé ?” a-t-il demandé. “L’ajout d’une incitation monétaire, comme une prime si cela est possible, peut également contribuer à améliorer la posture de sécurité d’une entreprise.”

La deuxième stratégie consiste à fournir un score à chaque dirigeant sur une base mensuelle ou trimestrielle, en fonction du nombre d’erreurs de sécurité liées aux utilisateurs qui se sont produites ou non pendant qu’ils étaient en charge.

“Ces résultats sont partagés en interne sous la forme d’un tableau d’affichage ou d’une carte de score, et ce type de responsabilisation motive les individus à être plus performants”, a-t-il déclaré.

Source: techrepublic.com