Jonathan Greig Staff Writer
Jonathan Greig er journalist baseret i New York City.
Fuld bio den 4. februar 2022 | Emne: Sikkerhed
En PowerPoint-tilføjelse bliver brugt til at sprede ondsindede filer, ifølge resultaterne af sikkerhedsfirmaet Avanan.
Avanans Jeremy Fuchs sagde .ppam-filen — som har bonuskommandoer og brugerdefinerede makroer — bliver brugt af hackere “til at pakke eksekverbare filer.”
Virksomheden begyndte at se angrebsvektoren i januar og bemærkede, at .ppam-filerne blev brugt til at pakke eksekverbare filer på en måde, der tillader hackere at “overtage slutbrugerens computer.” De fleste af angrebene kommer via e-mail.
“I dette angreb viser hackere en generisk indkøbsordre-e-mail, en ret standard phishing-meddelelse. Filen vedhæftet e-mailen er en .ppam-fil. En .ppam-fil er en PowerPoint-tilføjelse, som udvider og tilføjer visse muligheder. Men denne fil ombryder faktisk en ondsindet proces, hvorved registreringsdatabasens indstilling vil blive overskrevet,” sagde Fuchs.
“I dette e-mail-angreb fandt hackere en måde at udnytte en lidet kendt fil til at indpakke eksekverbare filer. Ved at bruge .ppam-filer, en PowerPoint-tilføjelsesfil, kan hackere pakke og dermed skjule ondsindede filer. I dette tilfælde kan fil vil overskrive registreringsdatabasens indstillinger i Windows, hvilket giver hackeren mulighed for at tage kontrol over computeren og holde sig aktiv ved vedvarende at opholde sig i computerens hukommelse.”
Hackerne fandt en vej uden om sikkerhedsværktøjer på grund af, hvor lidt .ppam-filen bruges. Fuchs tilføjede, at angrebsmetoden kunne bruges til at sprede ransomware, hvilket peger på en hændelse i oktober, hvor en ransomware-gruppe brugte filtypen under et angreb.
Aaron Turner, vicepræsident for SaaS posture hos Vectra, sagde, at allestedsnærværelsen af Microsofts samarbejdssuite gør den til en favorit blandt angribere, og det seneste PowerPoint-angreb er det seneste eksempel på mere end tyve års listige Microsoft Office-dokumenter, der leverer udnyttelser.
“For organisationer, der er afhængige af Exchange Online til deres e-mail, bør de gennemgå deres anti-malware-politikker, der er konfigureret i deres Microsoft 365 Defender-portal. Alternativt, hvis der er en høj risiko for angreb, der skal behandles uden for Defender-politikkerne, vedhæftede filtyper kan blokeres i en dedikeret .ppam-blokeringspolitik som en Exchange Online-mailflowpolitik,” sagde Turner.
“Når vi kører vores stillingsvurderingsscanning mod Exchange Online, tjekker vi den konfigurerede politik og sammenligner den med vores anbefaling om at blokere over 100 forskellige filtyper. Som et resultat af denne undersøgelse vil vi tilføje .ppam til vores liste over filtypenavne, der skal blokeres på grund af den relative uklarhed og ringe brug af den pågældende PowerPoint-filtype.”
Sikkerhed
Usikret AWS-server eksponeret 3TB i lufthavnen medarbejderregistrering Sådan finder og fjerner du spyware fra din telefon Microsoft: Sådan stoppede vi det største DDoS-angreb nogensinde. Den bedste antivirussoftware og -apps: Hold din pc, telefon, tablet sikker Hvordan teknologi er et våben i moderne misbrug i hjemmet Microsoft | Sikkerheds-tv | Datastyring | CXO | Datacentre