A jó védekezés egyik alapvetése, hogy a támadási felületet csökkentjük. Ugyanez igaz az IT-ra is, érdemes minél kisebb teret hagyni a sebezhető pontoknak (másik megközelítés, hogy addig növelni a támadó ROI-ját, hogy inkább más célpontot keressen)

A klasszikus védelmi megoldásokat ismerjük, antivírus szoftver, tűzfal, nem látogatunk kétes oldalakat, stb. Sajnos ezek kevesek lehetnek, ha alkalmazásokon keresztül érkezik a fenyegetés.

Az alkalmazások tartalmazhatnak régi, elavult megoldásokat, amiket kártevők kihasználhatnak. Jellemző példa a makrók, amik nagyszerű eszközök, de rosszindulatú módon is bevethetők. Vagy mint lentebb láthatjuk, egy rosszindulatú-preparált Adobe PDF károkozása “megúszható”

A Microsoft Attack Surface Reduction (ASR) megoldásával az alkalmazásokat kihasználó támadások sikeresen megakadályozhatók.

Gyorsan elő a feketelevessel: csak Windows 10 Enterprise kiadással működik. Cserébe Intune-ból és SCCM-mel is kezelhető… 🙂

Az ASR segítségével letiltható, hogy Office és Adobe programok futtatható állományokat hozzanak létre vagy pl. WMI-n keresztül processeket indítsanak. Könnyen látható, hogy pár legitim eset kivételével ezek bizony kártékony viselkedésre utalhatnak, tehát blokkolandó. Emellett a scriptek (JavaScript, VBScript) működése is felügyelhető.

További szabályozható beállítások, csak felsorolás jelleggel:

• Block executable content from email client and webmail: régi, de hasznos, levelezőklienssel ne lehessen futtatható állományokat megnyitni.
• Block Office Communication Applications from Creating Child Processes: megakadályozza, hogy az Office-alkalmazások újabb processeket hozzanak létre. Ha szükség van rá, kivételként engedélyezhető, az alap a blokkolás.
• Block Adobe Reader from Creating Child Processes: ó, a PDF-fileok, támadók kedvence. Sok sebezhetőséget tartalmaz, sok esetben lassan foltozzák a szoftvert a cégek, ráadásul a “PDF az PDF”, miért ne nyitnám meg? Itt jó szolgáltatot tehet a szabály, hogy egy PDF csak ne akarjon processeket indítgatni….
• Use advanced protection against ransomware: egy plusz védelmi vonal, ha egy futtatható állomány kártevőre hajaz, letiltja futását, még akkor is, ha alapból engedélyezve van.
• Block process creations originating from PSExec and WMI commands: psexec és wmi nem hozhat létre processeket. Ha SCCM-et használunk, ez NE állítsuk be, mert csúnyán belekavarhat az SCCM kliens működésébe.
• Block untrusted and unsigned processes that run from USB: bár az usb használata csökkenőben, azért nem baj, ha egy pendriveon lévő, digitális aláíráson lévő állomány nem indulhat el közvetlenül.
• Block credential stealing from the Windows local security authority subsystem: nem engedi, hogy külső alkalmazások jelszavakat vagy hash-eket szedjenek ki a memóriából.

A teljes szabálylista itt érhető el: https://docs.microsoft.com/hu-hu/windows/security/threat-protection/microsoft-defender-atp/attack-surface-reduction

Az ASR bevezetésekor érdemes monitorozással kezdeni, hogy a későbbi blokkolás mit érintene (pl. pénzügy esetén makrók generálása stb). Az Audit mode-dal ezt alaposan meg tudjuk vizsgálni, kivételeket képezni. Ezután jöhet a Block mode, ami a fenti szabályok alapján már tiltást végez.

Windows 10 E5 vagy M365 E5 licensz birtokában megkapjuk a Microsoft Defender ATP szoftver is, amivel az ASR teljesen kompatibilis, az evvel kapcsolatos riasztások és policyk központilag kezelhetők. Az alábbi képen látható, hogy átlagos hétfői napon több mint 1800 ASR-block történt…

A fentiek fényében tehát nagyon ajánlott az ASR bevezetése, evvel is csökkentve a támadási felületet.

Pajzsok fel!