A auditoria em redes é um procedimento fundamental para manter a segurança da informação dentro das empresas. Assim, é possível evitar a atuação de cibercriminosos, garantindo a confiabilidade e a reputação do negócio.
Confira neste artigo como a solução Elastic Security (SIEM), pode te ajudar no primeiro passo no processo de auditoria.
Um invasor pode criar um controle ActiveX malicioso para ser usado por um documento do Microsoft Office que hospeda o mecanismo de renderização do navegador. O invasor teria então que convencer o usuário a abrir o documento malicioso. Os usuários cujas contas são configuradas com poucos privilégios administrativos, no sistema, podem ser menos afetados em relação aos usuários com maiores permissões administrativas.
Após a conclusão desta investigação, a Microsoft tomará as medidas adequadas para ajudar a proteger seus clientes. Isso pode incluir o fornecimento de uma atualização de segurança por meio do processo de lançamento mensal ou o fornecimento de uma atualização de segurança fora do ciclo.
Mitigação
Por padrão, o Microsoft Office abre documentos da Internet no Modo de Exibição Protegido ou no Application Guard for Office, ambos evitando o ataque atual. Para obter informações sobre o modo de exibição protegido, consulte O que é modo de exibição protegido.
Medida Técnica
Desabilitar a instalação de todos os controles ActiveX no Internet Explorer atenua esse ataque. Os controles ActiveX instalados anteriormente continuarão em execução, mas não expõem essa vulnerabilidade.
1. Crie um arquivo de registro de sistema, salvando-o com a extensão .reg. Em seguida, cole o código abaixo:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"1001"=dword:00000003
"1004"=dword:00000003
2. Clique duas vezes no arquivo para aplicar a modificação
3. Reinicie o sistema
Para reversão desssa medida técnica, basta excluir o registro aplicado.
Nos últimos dias, temos visto uma onda crescente de ataques envolvendo ransomware e outras diversidades de malwares, trazendo prejuízos financeiro a diversos segmentos de negócios. Ter um SIEM, munido de recursos que facilitem uma investigação de atividades suspeitas, pode dar vantagem maior à frente das ações de atacantes buscando brechas de vulnerabilidades ou que já estejam infiltrados em um ambiente corporativo tomando medidas para escalação de privilégios, movimentos laterais ou até pivoteamento entre redes distintas.
Leia o artigo completo em -> Base de Reputação de IPs no Elastic SIEM
