Documenti di office e file PDF possono contenere dei contenuti attivi, ad esempio i file PDF possono contenere ed eseguire comandi JavaScript oppure documenti di Office che contengono script di PowerShell.
Una delle novità più interessanti dell’ultimo rilascio di LibraESVA è la QuickSand Sandbox.
QuickSand Sandbox è in grado di individuare e rimuovere contenuti “Attivi” da file di Office e PDF. La sandbox viene eseguita direttamente sulla appliance ESVA, senza necessità di inviare il file da analizzare sul cloud ed è veramente rapida.
I contenuti “Attivi” vengono classificati come “Sicuro”, “Sospetto”, “Indeterminato”, “Crittografato” e per ciascuna categoria è possibile selezionare diversi comportamenti (consegna, pulisci e consegna, blocca).
Prendiamo in esame un file PDF (il manuale di libraESVA), ed andiamo a testare la nuova funzionalità aggiungiamo un comando JavaScript:
app.launchURL(“https://www.libraesva.com”, true);
che ci permette di far aprire una pagina web all’apertura del file PDF.
Inviando il file in allegato al messaggio, LibraESVA individua il contenuto attivo ed esegue l’azione associata, rimuovendo il contenuto attivo o bloccando il file.
Questa nuova funzionalità è molto importante, in particolare durante le campagne di diffusione di ransomware abbiamo visto messaggi di posta contenere allegati pericolosi con componenti attive, ma non il malware vero e proprio, che veniva richiamato dai contenuti attivi presenti negli allegati.
Argonavis ed i suoi esperti in sicurezza informatica sono a tua disposizione per darti supporto ed aiutarti a proteggere la tua azienda dai rischi informatici.