Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo prevenir los ataques de scripts en Microsoft Office

[16/04/2020] Si ha mirado su bandeja de entrada últimamente, no le sorprenderá cuando le diga que los ataques de phishing aumentaron un 400% en los primeros siete meses del 2019. Y más aún en estos tiempos. Esos ataques de phishing intentaron engañar a un usuario para que fuera a un sitio web o abra un documento de Office. Los que intentan hacer que abra un documento de Office usualmente llama a un script para tomar medidas adicionales. Los scripts se utilizan con mayor frecuencia en macros maliciosas para call actions.

¿Qué debe hacer un administrador de TI cuando tiene que lidiar con documentos de Office maliciosos? Mucho. En primer lugar, debe identificar y estratificar quién en su oficina realmente necesita una implementación de Office completamente funcional. Puede combinar la forma en la que implementa Office. ¿Pueden sus usuarios arreglárselas con una versión de Office basada en la web, de estilo "quiosco", que no se instala directamente en el sistema y que puede utilizarse más en un modo sandbox?

Las versiones web de Office limitan el impacto en las computadoras.
Pishing, Microsoft Office

¿Puede evitar que los usuarios ejecuten las macros de Office? En términos generales, la mayoría de los usuarios pueden arreglárselas con un conjunto de Office básico y no necesitan utilizar características avanzadas como las macros. Puede restringir el uso de macros solo a aquellos usuarios que necesitan tenerlas para ser productivos.

Aquellos que tienen una infraestructura de dominio tradicional puede limitar las macros de Office con Group Policy. La amenaza de las macros no es nueva. Allá en Office 2010, Microsoft proporcionó la capacidad de bloquear las macros; y con Office 2016, los administradores pueden bloquear las macros en los documentos que le llegan de la web. Más conocido como "marca de la web", este marcado de metadatos permite a los administradores un control más detallado sobre cómo y dónde sus usuarios pueden abrir los archivos.

Como siempre, no subestime la necesidad de educar a los usuarios finales. Hacerles saber cómo deben ser los archivos y cómo deben responder a las indicaciones, es muy importante para mantener la seguridad de la red.

La vista protegida está incorporada desde Office 2010.
Pishing, Microsoft Office

Capacite a los usuarios para que busquen las notificaciones de advertencia amarillas y rojas en la parte superior de los archivos que abren de fuentes externas. Incluso si abren uno de un remitente conocido, dígales que busquen estas señales reveladoras y vean si sus documentos pueden abrirse con seguridad

A estas alturas ya debería tener algún tipo de higiene de correo electrónico por la que todos los correos y archivos adjuntos pasen antes de que el usuario sea capaz de abrirlos. No vea esto como algo infalible. Los atacantes saben que estamos filtrando el correo electrónico y escaneando los archivos adjuntos, y he visto un cambio hacia la reducción de los documentos adjuntos maliciosos y el aumento de los documentos maliciosos alojados en la nube. Esto hace que sea mucho más difícil para los motores de higiene protegerlo.

Recientemente, Microsoft presentó de manera preliminar una nueva función de suscripción a Microsoft 365 E5 llamada Documentos Seguros. Con base en la vista protegida, el servicio revisa los documentos de Excel, PowerPoint y Word para identificar riesgos conocidos y perfiles de amenazas antes de que un usuario pueda abrirlos. Asimismo, mostró Application Guard para Office 365 Pro Plus, un servicio que pone a Office en un entorno de sandbox; y, al igual que Windows Defender Application Guard para Edge, coloca los documentos maliciosos en un sandbox para que no puedan entrar en el sistema operativo base.

Si tiene una licencia activa de Microsoft 365 E5, puede habilitar la vista previa yendo al Centro de Seguridad & Cumplimiento de Office 365. Vaya a "Gestión de amenazas" > "Política" > "Archivos adjuntos seguros de ATP". En la sección "Ayudar a las personas a mantenerse seguras cuando aceptan abrir archivo fuera de la Vista Protegida en las aplicaciones de Office", configure los siguientes ajustes:

  • Active "Documentos seguros para clientes de Office". (Los archivos también serán enviados a la nube de Microsoft para un análisis profundo.)
  • Asegúrese de que la opción "Permitir a la gente hacer clic a través de la vista protegida incluso si documentos seguros identifica el archivo como malicioso" no esté activado.

Cuando haya terminado, haga clic en "Guardar".

Application Guard está actualmente en versión preliminar, pero puede inscribirse para la versión beta privada.

Tenga en cuenta que puede combinar las diferentes versiones de licencias de Microsoft dentro de su implementación de Office 365. Podría darle prioridad a la protección de Office para determinados usuarios en su organización y habilitar las versiones web de la plataforma de Office para otros. Incluso podría considerar el uso de plataformas alternativas al conjunto de aplicaciones de Office para los usuarios que no necesitan el entorno de colaboración completo.

Varias versiones de Office (precios en dólares).
Pishiing, Microsoft Office

Como un comentario aparte, recomiendo encarecidamente la compra de al menos una copia de Microsoft 365 E5 para que pueda ver y evaluar todo el paquete de software de seguridad de Microsoft. No es razonable comprar este paquete para todos en su organización, pero es justificable para determinados trabajadores y posiciones en su organización.

A medida que avanzamos hacia más entornos web, los documentos a menudo pueden compartirse a través de otros medios como archivos PDF de solo lectura, foros en línea o formularios web. No solo no es necesario que todos los miembros de su organización ejecuten una macro en sus documentos de Office, sino que podrían necesitar diferentes herramientas para hacer su trabajo y probablemente ya no necesiten el paquete completo de Office.

La licencia de las diferentes versiones de Office tiene un efecto directo en su postura de seguridad. Revise quién necesita qué, dónde y cuándo. Asigne la herramienta adecuada al usuario y edúquelo sobre la comunicación que esa aplicación le proporcionará para ayudarlo a tomar las decisiones de seguridad correctas.