Documents Anti-Exploit tool (by andybear)
#1
Nasz kolega @andybear...ten od Hard Configurator...opublikował właśnie na MT artykuł o swoim nowym projekcie, który nazywa się Anti-Exploit tool. Narzędzie jest uzupełnieniem (i częścią chyba) podstawowej aplikacji jaką jest HC i ma za zadanie nakładanie specyficznych restrykcji na podatne aplikacje jaką są programy wchodzące w skład pakietu biurowego MSO oraz aplikacja i moduły Adobe Reader. Pełny wykaz poniżej (za MT)
Cytat:"Documents Anti-Exploit" tool can be used to harden MS Office and Adobe Acrobat Reader XI/DC applications. It is focused on the current account from which was started. So, the user can apply the different restrictions on the different accounts.

In MS Office, the below settings are applied (valid up to MS Office 2016):

  1. Disabled Macros in MS Office XP and MS Office 2003+ (Word, Excel, PowerPoint, Access, Publisher, and Outlook).

  2. Disabled Access to Visual Basic Object Model (VBOM) in MS Office 2007+ (Access, Excel, PowerPoint, and Word).

  3. Disabled DDE in Word 2007+ (requires Windows Updates pushed in January 2018, see Microsoft Security Advisory ADV170021).

  4. Disabled auto-update for any linked fields (including DDE and OLE) in Word 2007+, Excel 2007+, Outlook 2007+, OneNote 2013+.

  5. Disabled ActiveX in MS Office 2007+.

  6. Disabled OLE in MS Office 2007+ (Word, Excel, PowerPoint).

  7. Disabled ‘Run Programs’ option for action buttons in PowerPoint 2007+.

  8. Disabled automatic download of linked images in PowerPoint 2007+.

  9. Disabled Trust Bar notifications in MS Office 2007+.

  10. The restrictions can be also applied as policies, so they cannot be changed by the malware which is running with medium rights (or lower). Those restrictions cannot be also changed via the settings panel in MS Office applications.
In Adobe Acrobat Reader XI/DC, the below settings are applied:

  1. The dangerous features in Adobe Acrobat Reader DC (version from the year 2018 at least) on Windows 8.1/10 can be blocked with the ‘Yellow Message Bar’, and if allowed by the user, then silently mitigated in AppContainer.

  2. The dangerous features in Adobe Acrobat Reader XI (all Windows versions) and Adobe Acrobat Reader DC (Windows 8 and prior versions) can be blocked with the ‘Yellow Message Bar’ (the user can allow them).

  3. The restrictions apply for the current account and overwrite native settings in Adobe Acrobat Reader XI/DC.

  4. The user can apply different restrictions on different accounts.


A tu wyjaśnienie do nazw poziomów ochrony
Cytat:You can get the helpful information when pressing the green buttons <MS Office> or <Adobe Acrobat Reader>. ON1 and ON2 settings relate to MS Office.

ON1 - restrictions can be modified inside MS Office applications. If you change some security settings inside MS Office and next run DocumentsAntiExploit, then it will show 'Partial' instead of ON1.
ON2 - restrictions are applied as policies; cannot be modified inside MS Office applications and by malware running with medium rights (or lower).
OFF2 - restrictions applied by policies are removed; the previously set non-policy restrictions are applied.

The ON2 setting does not overwrite the non-policy restrictions made in MS Office applications - you can see ON2 settings in MS Office but the non-policy restrictions survive in the Registry. So, inside MS Office you can set the favorite non-policy restrictions R1 and quickly switch between R1 and ON2 by using DocumentAntiExploit OFF2 and ON2 settings.

Źródło i całość dyskusji 
https://malwaretips.com/threads/document...ool.87687/
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
(28.10.2018, 19:09)ichito napisał(a): Nasz kolega @andybear...ten od Hard Configurator...opublikował właśnie na MT artykuł o swoim nowym projekcie, który nazywa się Anti-Exploit tool. Narzędzie jest uzupełnieniem (i częścią chyba) podstawowej aplikacji jaką jest HC i ma za zadanie nakładanie specyficznych restrykcji na podatne aplikacje jaką są programy wchodzące w skład pakietu biurowego MSO oraz aplikacja i moduły Adobe Reader. Pełny wykaz poniżej (za MT)
Źródło i całość dyskusji 
https://malwaretips.com/threads/document...ool.87687/

Cześć @ichito
Krótko mówiąc, "Documents Anti-Exploit" za jednym zamachem blokuje wiele niebezpiecznych funkcji w aplikacjiach MS Office i Adobe Acrobat Reader. Jest pod tym względem skuteczniejszy od programów: HardenTools i SysHardener. Oprócz zwykłych ustawień, potrafi także zastosować ustawienia tak, że ich zmiana za pomocą aplikacji MS Office nie jest możliwa (wymagane są uprawnienia administratora) - czego nie można osiągnąć za pomocą programów HardenTools i SysHardener. Beer
Odpowiedz
Podziękowania
#3
Dzięki Andy...mamy więc najważniejszy cel jego instalowania Smile
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
Podziękowania




Użytkownicy przeglądający ten wątek: 1 gości