zahni 524 Geschrieben 14. September 2015 Melden Teilen Geschrieben 14. September 2015 Zur SRP: Wir setzen die erfolgreich ein: Whitelisting, Faustregel: User dürfen nur von Orten Programme starten auf diese kein Schreibrecht haben. Sein User-Profil und "temp" gehören z.B. nicht dazu. Sicher muss man alle Anwendungen testen, weil es da immer wieder ein paar Spezialfälle gibt, für die man spezielle Ausnahmen braucht. Es gibt auch Proxy-seitige Content-Filter, die auch das binäre Format von Flash blockieren. Lösungen gibt es z.B. von Mcafee ( http://www.mcafee.com/de/products/web-protection.aspx?view=legacy ) Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 14. September 2015 Melden Teilen Geschrieben 14. September 2015 Zur SRP: Wir setzen die erfolgreich ein: Whitelisting, Faustregel: User dürfen nur von Orten Programme starten auf diese kein Schreibrecht haben. Sein User-Profil und "temp" gehören z.B. nicht dazu. Sicher muss man alle Anwendungen testen, weil es da immer wieder ein paar Spezialfälle gibt, für die man spezielle Ausnahmen braucht. Genau, %WINDIR%, %PROGRAMFILES% + %ProgramFiles(x86)% dürfen erstmal, ein paar Spezialfälle kamen noch dazu. Insbesonders %TEMP% und das Userprofil sind Kandidaten für einen Versuch, der wird damit unterbunden. Zitieren Link zu diesem Kommentar
felkr 11 Geschrieben 14. September 2015 Melden Teilen Geschrieben 14. September 2015 Könnten man solche Attacken mit Firewalls wie einer FortiGate verhindern? Diese filtern ja den Webtraffic und müssten so etwas merken oder? Zitieren Link zu diesem Kommentar
ChrisRa 42 Geschrieben 14. September 2015 Melden Teilen Geschrieben 14. September 2015 Da Cryptowall, wie bereits erwähnt, über den Flash Player kommt, wird dir eine Firewall nicht viel nützen. Bei Maleware generell bringt dir eine Firewall nicht viel (wenn es eigenständige sind). Zitieren Link zu diesem Kommentar
felkr 11 Geschrieben 14. September 2015 Melden Teilen Geschrieben 14. September 2015 Ja wenn es nur eine Firewall ist hast du recht. Aber vielleicht verstehe ich es ja auch falsch aber die FortiGate Produkte gehören doch zu den Next Generation Firewalls und diese haben einen Viren und Maleware Scanner an Board und prüfen auch den Traffic der da durch geht. Oder täusche ich mich da? Zitieren Link zu diesem Kommentar
XP-Fan 215 Geschrieben 14. September 2015 Melden Teilen Geschrieben 14. September 2015 Hallo felkr, schau doch mal in den ersten Post rein. Es wurde auf der Firewall mittels Kaspersky gescannt und auf den Clients mittels Symantec, also wirklich schon was empfehlenswert ist wurde umgesetzt. Trotzdem wurde eine Schwachstelle im System ausgenutzt um Schaden anzurichten. Da trifft wieder der Satz "Sicherheit ist kein technischer Zustand" genau zu. Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 15. September 2015 Melden Teilen Geschrieben 15. September 2015 Neulich kam hier eine CHM_Datei an, die tatsächlich ein Powershellscript ausgeführt hat. Sollte da MS nicht etwas an der Windows-Hilfe ändern? Haben wir schon gemacht. CHM ist deprecated seit Windows Vista. Über das Netzwerk lassen sie sich nicht ausführen. Nach einem lokalen Herunterladen sind sie per Security Policy geblockt. Wenn der Anwender allerdings all das aufhebt, dann wird gemacht. was der Anwender wünscht. Das kann dann unerwünschte Nebeneffekte haben. Zitieren Link zu diesem Kommentar
zahni 524 Geschrieben 15. September 2015 Melden Teilen Geschrieben 15. September 2015 Haben wir schon gemacht. CHM ist deprecated seit Windows Vista. Über das Netzwerk lassen sie sich nicht ausführen. Nach einem lokalen Herunterladen sind sie per Security Policy geblockt. Wenn der Anwender allerdings all das aufhebt, dann wird gemacht. was der Anwender wünscht. Das kann dann unerwünschte Nebeneffekte haben. Ich hatte das Ding nur kurz in einer Sandbox getestet. Es ging nach dem lokalen Öffnen (Anhang einer Mail) kurz ein Powershell-Fenster auf. Allerdings mit einer Fehlermeldung. Wobei unser Proxy ausführbare Dateien filtert. Ich hatte keine Zeit, das weiter zu testen. OS war Windows 7. In der Sandbox habe ich hinterher jedenfalls kein Powershell-Script gefunden. Nochmal zum TO: Ich bin mir sicher, dass eine passende SRP den beschriebenen Angriff verhindert hätte. Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 15. September 2015 Melden Teilen Geschrieben 15. September 2015 Das ist ein hilfreicher Hinweis. Am liebsten würde ich Adobe Flash gleich auf allen Clients deinstallieren und sperren. Nur verwenden die User TYPO3 und das Adobe Flash wird für gewisse Funktionen (Bsp. Mehrfachupload von Dateien) innerhalb von TYPO3 verwendet. Aber ich überlege mir dennoch die Holzhammermethode und werfe Flash über Bord. Erst Recht da gewisse Browser wie Google Chrome das ja von Haus aus machen... Auch hier sollte man ansetzten und gezielt die Anbieter von Software ansprechen und ihnen klar machen, dass Flash in Ihren Produkten nix zu suchen hat! Ich kotze hier auch immer ab, wenn ein User ankommt, weil Produkt XYZ nicht sauber auf seinem Rechner läuft oder aber ein Webportal mal wieder herumzickt weil der Flash-Player fehlt! UPS Quantum View ist auch so ein Beispiel! Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 16. September 2015 Melden Teilen Geschrieben 16. September 2015 Powershell führt ein Script nicht automatisch aus. Das musst Du erst separat aktivieren. Daher kann die Fehlermeldung daher rühren. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.