none
[Exchange 2016] Entfernen von Makrocode in Office Dokumenten RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Servus Community,

    früher hatten wir einen Virenscanner (Trend Micro), der konnte in Office Dokumenten enthaltenden Makrocode entfernen, ohne dabei das ganze Attachment zu löschen. Unser neuer Virenscanner (ESET) kann das nicht mehr und gestern hatten wir einen Fall, wo die E-Mail mit infizierten Word Dokument um 11:00 Uhr eintraf aber erst um 15:00 Uhr als Schadsoftware erkannt wurde. In den vier Stunden ist die E-Mail auch geöffnet worden und nur die Richtlinie, welche die Ausführung von Makros in Office Dokumenten deaktiviert, hat Schlimmeres verhindert. Das ist sehr spät und die E-Mail könnte uU ja auch an Geschäftspartner weitergeleitet werden, die weniger Sicherheitsmaßnahmen ergriffen haben.

    Das grundsätzliche Löschen des Makrocodes war schon eine recht beruhigende Angelegenheit, die wir vermissen, seit wir bei ESET sind aber gestern hätte es das erste mal richtig ernst werden können. Gibt es eine Möglichkeit auf einem Exchange Server Makrocode in Office Dokumenten zu entfernen?

    Thx & Bye Tom

    Donnerstag, 30. Januar 2020 10:06
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Gibt es eine Möglichkeit auf einem Exchange Server Makrocode in Office Dokumenten zu entfernen?

    Ja, mit Trend ;-)

    Jetzt aber mal im Ernst. Niemand fügt aus Spaß Makros in Dokumente ein. Angreifer machen es, um euch anzugreifen. Diejenigen, die euch wirklich begründet Dokumente schicken, machen das, weil das Dokument auf irgendeine Art interaktiv sein soll. Daher ist es einfacher und ehrlicher, Dokumente mit Makros am Gateway mit Nachricht abweisen zu lassen. Dann weiß der legitime Absender, dass ihr seinen interaktiven Kram nicht bekommen werdet. Das werdet ihr ja auch nicht, wenn ihr die Makros im Transit löscht, aber dann weiß es der Absender nicht und kann es nicht von sich aus korrigieren. Und es ist ja auch vollkommen normal, dass man ausführbaren Code von Externen nicht per Mail akzeptiert. Wenn die euch eine EXE schicken, würde sich ja auch niemand wundern, wenn ihr sie abweist.

    Eigentlich sollte jede Firma, die Office einsetzt, dringendst ein Projekt aufsetzen, an dessen Ende die vollständige Abschaltung der Makrofunktionalität steht. Und dann ist das Thema auch vom Tisch, denn die Erwartung, dass Microsoft die Office-Makros endlich als ausführbaren Code betrachtet, wird wohl auf kurze und mittlere Sicht enttäuscht werden... 

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Donnerstag, 30. Januar 2020 10:54
    |
  • Question
    Anmelden
    0
    Anmelden

    Servus Evgenij,

    > Niemand fügt aus Spaß Makros in Dokumente ein[...]

    In einer perfekten Welt mag das vielleicht stimmen aber uns hat das jahrelange Beobachten des Trend Micro Scanners etwas anderes gezeigt. Wir hatten ständig irgendeine Erkennung in durchaus zu erwartenden Dokumenten und ohne das die Absender davon wussten. Das kann zum einen dadurch verursacht werden, dass die Exceldatei schon Jahre auf den Buckel hat und durch zig Hände gegangen ist und keiner mehr so genau weiß, was damit schon alles angestellt worden ist und zum anderen aber auch nur eine false positiv Erkennung sein könnte, weil irgendeine Option aktiviert gewesen ist und Pseudocode gefunden wurde.

    Da jetzt mit der Keule hergehen und alles in die Quarantäne zu verschieben, was nach Makro ausschaut, traue ich mich so ganz ohne Evaluierungsphase jetzt auch nicht [...] wobei das gestern schon knapp war, dass muss man wirklich sagen...

    THx & Bye Tom

    Donnerstag, 30. Januar 2020 12:36
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    frag mal einen Kaufmann bei euch im Unternehmen, wieviel Geld er bereit ist bei euch zu investieren, damit eure Geschäftspartner weiterhin schlampig arbeiten können. Denn darauf läuft's ja hinaus  - ihr versucht irgendwelche Leute vor ihrer eigenen Verantwortung zu schützen, saubere und gepflegte Dokumente durch die Gegend zu schicken. Stell Dir mal vor, ihr bekommt ein Angebot per Brief, es ist aber total zerknüllt und mit Rotweinflecken. Legt ihr das so eurem Chef vor? Oder bügelt ihr das Papier glatt und bleicht die Flecken raus? Nein, ihr ruft da an und fragt, ob ihr ein ordentliches Exemplar haben könnt, falls der Absender am Auftrag interessiert ist...

    Natürlich kannst Du das jetzt nicht von gestern auf morgen einseitig ändern, und schon gar nicht ohne Abstimmung. Aber das musst Du dringend angehen, sonst läufst Du dem Dreck in fünf Jahren noch hinterher. Gut, danach kannst Du dich natürlich entspannen, dann ist Exchange EOL und alles ist wieder gut ;-)

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Donnerstag, 30. Januar 2020 12:57
    |
  • Question
    Anmelden
    0
    Anmelden

    Servus,

    > Gut, danach kannst Du dich natürlich entspannen, dann ist Exchange EOL und alles ist wieder gut ;-)

    Was heißt das...?

    Thx & Bye Tom

    Donnerstag, 30. Januar 2020 13:20
    |
  • Question
    Anmelden
    0
    Anmelden
    Das, was da steht, siehe https://it-pro-berlin.de/2020/01/umfrage-zu-exchange-eol/

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Donnerstag, 30. Januar 2020 13:32
    |
  • Question
    Anmelden
    0
    Anmelden

    > Das, was da steht, siehe https://it-pro-berlin.de/2020/01/umfrage-zu-exchange-eol/

    Puh, das wären bad news [...] aber warten wir erst mal ab. Vielleicht darf McAfee ja seine Eier behalten und der Bitcoin steht Ende 2020 wirklich bei 500k Dollar, dann juckt mich das alles nicht mehr... ;-)

    Bye Tom

    Donnerstag, 30. Januar 2020 13:42
    |
  • Question
    Anmelden
    0
    Anmelden
    Die Umfrage ist übrigens ernst gemeint, bitte beantworten, wenn Zeit ;-)

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Donnerstag, 30. Januar 2020 13:53
    |
  • Question
    Anmelden
    0
    Anmelden
    Spätesten dann wird es wohl Zeit sich von Exchange zu lösen.
    Schaun wir mal...
    https://www.zdnet.de/88217792/exchange-alternativen-zarafa-zimbra-domino-und-co/
    Donnerstag, 30. Januar 2020 17:18
    |
  • Question
    Anmelden
    0
    Anmelden

    > Die Umfrage ist übrigens ernst gemeint, bitte beantworten, wenn Zeit ;-)

    Erledigt, gestern schon :-)

    Schönes Wochenende Tom

    Freitag, 31. Januar 2020 09:54
    |
  • Question
    Anmelden
    0
    Anmelden

    > Spätesten dann wird es wohl Zeit sich von Exchange zu lösen.

    Wir haben das jetzt mal kurz besprochen und uns darauf geeinigt, dass wir dieses Jahr noch abwarten, wie sich Microsoft dazu äußert und sollten sie On-Premises Exchange Server nicht mehr weiterentwickeln, werden wir dann ab Mitte 2021 Alternativen evaluieren und kleinere oder zT auch private Domains darauf hosten. Da bieten sich ja durchaus einige an und solch ein Schritt von Microsoft wird diesem Segment in der Open Souce Gemeinde sicherlich noch zusätzlich Aufwind geben.

    Kann ich ja schon mal anfangen, meine Linux Kenntnisse wieder aufzufrischen :-D

    Thx & Bye Tom


    Freitag, 31. Januar 2020 10:34
    |
  • Question
    Anmelden
    0
    Anmelden

    > Die Umfrage ist übrigens ernst gemeint, bitte beantworten, wenn Zeit ;-)

    Erledigt, gestern schon :-)

    Bestens, danke!

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Freitag, 31. Januar 2020 10:38
    |