Plusieurs rapports récents ont fait état de fausses mises à jour usurpant les pages de Google Chrome, Mozilla Firefox et Internet Explorer. L’objectif est d’inciter l'utilisateur à cliquer sur l'option de mise à jour pour déclencher le téléchargement d’un fichier JavaScript, lequel exécute ensuite un logiciel malveillant. Heureusement, plusieurs options vous permettent de bloquer ou de modifier le comportement par défaut afin de mieux protéger les postes de travail.
Bloquer JavaScript au niveau de la passerelle de courrier électronique
Commencez d’abord par bloquer les types de fichiers .js et .jse au niveau de la passerelle de courrier électronique. Il n'y a aucune raison logique de recevoir ou d'envoyer des fichiers JavaScript à l'utilisateur lambda. Vérifiez régulièrement tous les types de fichiers que vous bloquez et n'autorisez que ceux que vous souhaitez recevoir. Vous devez également vérifier régulièrement les fichiers autorisés au niveau des pares-feux, du courrier électronique, des transferts de fichiers et de tout autre canal. Indiquez clairement à vos utilisateurs quels types de fichiers sont autorisés et ceux qui ne le sont pas. Pour les portails Internet, vous pouvez facilement faire la même chose en documentant ce qui est et n'est pas autorisé sur le site.
Réassocier les types de fichiers non fiables avec un autre type de fichier
Cette autre méthode, qui consiste à réassocier un type de fichier donné avec un autre type de fichier, existe depuis de nombreuses années. Sur un seul poste de travail, ouvrez les applications par défaut, puis cliquez sur « Choisir les applications par défaut par type de fichier ». Identifiez le type de fichier .js et paramétrez-le pour qu'il soit ouvert avec le Bloc-notes. Pour l'ensemble du domaine, utilisez la Stratégie de groupe ou Group Policy en allant dans « Configuration de l’ordinateur », puis dans « Modèles d'administration », et enfin dans « Préférences/Paramètres du panneau de configuration/Options des dossiers ». Ajoutez le nouveau type de fichier comme indiqué ci-dessous sous « Propriétés du nouveau type de fichier ». Faites de même pour les types de fichiers .jse afin de bloquer les deux types de fichiers pouvant être lancés avec JavaScript. Si certains utilisateurs ont besoin de ces types de fichiers spécifiques, vous pouvez configurer des groupes d'ordinateurs et d’unités spécifiques dans la Stratégie de groupe, appliquer uniquement des politiques de réassociation à ces groupes et exclure la réassociation des types de fichiers à ceux qui ont encore besoin de la capacité JavaScript.
Réduction de la surface d'attaque
Ensuite, vous pouvez utiliser les capacités de réduction de surface d'attaque (ASR) de Microsoft Defender ATP (Advanced Threat Protection) pour mieux défendre votre réseau. Même avec une licence Windows 10 Professionnel et sans licence complète Windows 10 Enterprise ou Microsoft 365 E5, vous pouvez bénéficier de protections contre JavaScript ou VBScript. Sans licence Enterprise, vous perdez certaines capacités de gestion, notamment la surveillance, l'analyse et les flux de travail, disponibles dans Microsoft Defender pour point de terminaison (Defender for Endpoint), ainsi que les capacités de rapport et de configuration dans le Centre de sécurité de Microsoft 365.
Avec Windows 10, version 1709 (RS3, build 16299) ou supérieure, vous pouvez configurer une règle ASR pour bloquer JavaScript et VBScript. Différentes méthodes vous permettent de définir des règles ASR. Si vous avez accès à Intune, sélectionnez « Appareils », puis « Profils de configuration ». Créez un nouveau profil de protection ou choisissez un profil de protection de point d'extrémité existant. Dans « Type de profil », sélectionnez « Protection des points terminaux » et donnez un nom au profil. Si vous avez choisi un profil existant, sélectionnez « Propriétés », puis « Paramètres ». Dans « Paramètres de configuration », choisissez « Microsoft Defender Exploit Guard » et allez à la section « Réduction de surface d'attaque ». Faites défiler vers le bas et choisissez les paramètres relatifs aux js/vbs.
Dans Intune, il y a un accès aux règles suivantes qui préviennent les menaces de script :
- Code js/vbs/ps/macro impénétrable
- Js/vbs exécutant des charges utiles téléchargées sur Internet (sans exception)
Les règles suivantes me permettent également de prévenir les menaces par courrier électronique :
- Exécution de contenu exécutable (exe, dll, ps, js, vbs, etc.) déposé à partir d'un courriel (webmail/client de messagerie) (aucune exception)
Si vous avez accès à Microsoft Endpoint Configuration Manager, allez dans « Ressources et Conformité », puis « Endpoint Protection », puis « Microsoft Defender Exploit Guard ». Sélectionnez ensuite « Accueil », puis « Créer une stratégie Exploit ». Entrez un nom et une description, sélectionnez « Réduction de surface d’attaque », puis « Suivant ». Choisissez les règles ASR spécifiques que vous souhaitez bloquer ou auditer. Passez en revue les paramètres et sélectionnez « Suivant » pour créer la politique.
Pour Intune et Configuration Manager, il vous suffit de choisir les actions que vous voulez définir pour la règle que vous voulez activer. Il n'est pas nécessaire de connaître les GUID (Globally unique identifier) ou d'autres étapes déroutantes.
Ensuite, si vous utilisez la Stratégie de groupe pour configurer l’ordinateur, ouvrez la console de gestion des Stratégies de groupe, cliquez avec le bouton droit de la souris sur l'objet des stratégies de groupe que vous souhaitez configurer et sélectionnez « Modifier ». Allez dans « Configuration de l'ordinateur » et sélectionnez « Modèles d’administration ». Développez l'arborescence vers les composants Windows puis allez dans « Antivirus Microsoft Defender », puis « Windows Defender Exploit Guard », puis « Réduction de surface d’attaque ». Sélectionnez « Configurez les règles de réduction de surface d'attaque », puis « Activé ». Définissez ensuite l'état individuel de chaque règle dans les options. Sélectionnez « Afficher… » et entrez l'ID de la règle dans la colonne « Nom de la valeur » (D3E037E1-3EB8-44C8-A917-57927947596D) et l'état choisi dans la colonne « Valeur » comme suit :
Désactiver = 0
Bloquer (activer la règle ASR) = 1
Audit = 2
Pour utiliser PowerShell afin de définir le même paramètre, lancez une applet de commande à l'invite PowerShell de l'administrateur :
Règle : Bloquer JavaScript ou VBScript pour empêcher le lancement du contenu exécutable téléchargé :
Set-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Enabled
Vous pouvez ensuite utiliser le cmdlet Get-MPPreference pour vérifier l'état de la règle et si elle a été appliquée avec succès. Il est préférable de commencer par les vérifier plutôt que de les activer complètement pendant au moins 30 jours. Une fois que vous estimez qu'il n'y a pas de problème, vous pouvez déployer complètement la protection. Comme toujours, n’oubliez pas de vérifier les protections que vous avez mises en place pour vos utilisateurs finaux.
Commentaire