Windows Defender Exploit Guard beschermt tegen DDE-aanval

[Captain Kirk]

Met de lancering van de Windows 10 Fall Creators Update heeft Microsoft nieuwe beveiligingsmaatregelen aan het besturingssysteem toegevoegd die onder andere tegen de DDE-aanval beschermen die de laatste dagen in het nieuws is. De nieuwe beveiligingsmaatregelen worden door Microsoft 'Windows Defender Exploit Guard' genoemd. Het gaat om een verzameling van features die gebruikers tegen verschillende dreigingen moeten beschermen.

Zo is er de feature genaamd 'Controlled folder access', die directories tegen ransomware beschermt. Alleen geautoriseerde applicaties krijgen in dit geval toegang tot bestanden in opgegeven mappen. Ongeautoriseerde uitvoerbare bestanden, dll-bestanden en scripts krijgen geen toegang, ook niet als ze met beheerdersrechten draaien. In het geval ransomware de bestanden in de opgegeven mappen benadert geeft Windows 10 een waarschuwing.

Attack Surface Reduction

Een andere feature is Attack Surface Reduction (ASR). Dit is een verzameling controls waarmee organisaties kunnen voorkomen dat een aanvaller via e-mail, scripts of Microsoft Office systemen kan infecteren. In het geval van Microsoft Office kan ASR voorkomen dat apps uitvoerbare content creëren of zichzelf in een proces injecteren. Ook wordt macro-code geblokkeerd. Een andere aanval die ASR blokkeert is die via de DDE-feature van Microsoft Office, zo heeft Microsoft bekendgemaakt.

De Dynamic Data Exchange (DDE) feature van Microsoft Office maakt het mogelijk om data van bijvoorbeeld een Excel-document in een Word-document te injecteren. Hiervoor wordt er code aan het ene document toegevoegd die naar de data in het andere document wijst. In plaats van een document kan er ook naar het uitvoeren van kwaadaardige code worden gelinkt. Aanvallers maken nu gebruik van deze feature om internetgebruikers via Word-documenten met ransomware en andere malware te infecteren. Windows Defender Exploit Guard kan deze aanval detecteren en stoppen. Verder stopt de feature JavaScript-, VBScript- en PowerShell-code, alsmede uitvoerbare content die via e-mail of webmail binnenkomt.

Exploitbescherming

Windows Defender Exploit Guard biedt ook bescherming tegen exploits. Het vervangt hiermee de bekende Enhanced Mitigation Experience Toolkit (EMET) van Microsoft. Net als EMET voorziet Exploit Guard het systeem van een aanvullende beveiliging die bescherming tegen bekende en onbekende exploits moet bieden. De Fall Creators Update zal op Windows 10-computers EMET verwijderen als deze tool geïnstalleerd is. EMET-gebruikers kunnen wel hun instellingen binnen Exploit Guard importeren. De Fall Creators Update wordt de komende maanden onder Windows 10-machines uitgerold en kan ook handmatig worden geïnstalleerd.

 

 

 

bron: security.nl