Si riportano di seguito le azioni che è possibile intraprendere sulle configurazioni del sistema per limitare l’esecuzione delle più comuni tipologie di codice malevolo diffuso via posta elettronica.

Sono azioni da compiere solo se avete buona conoscenza del computer e per le quali non ci assumiamo alcuna responsabilità :

·        Disattivare l’esecuzione di VBScript

Ecco i passaggi da effettuare per disabilitare la funzionalità Windows Script Host (WSH) per l’utente corrente (step 2-3) e/o per tutti gli utenti (step 4-5):

1. Premere i tasti WINDOWS + R, quindi digitare regedit per  accedere al registro di sistema.
2. Navigare in HKEY_CURRENT_USERSoftwareMicrosoftWindows Script HostSettings
3. Creare (se non esiste già) una nuova chiave REG_DWORD denominata Enabled e assegnare ad essa un valore pari a 0 (zero).
4. Navigare in HKEY_LOCAL_MACHINESoftwareMicrosoftWindows Script HostSettings
5. Creare (se non esiste già) una nuova chiave REG_DWORD denominata Enabled e assegnare ad essa un valore pari a 0 (zero).

VBScript è un linguaggio di scripting sviluppato da Microsoft che si è ampiamente diffuso nello sviluppo  web ed è stato appositamente integrato in Internet Explorer. Per disabilitare VBScript in Internet Explorer 11, 10 e 9, si invita alla consultazione dell’articolo prodotto da Microsoft in italiano [ click qui ]. La risorsa fornisce le indicazioni necessarie oltre ad un pacchetto (fix) la cui esecuzione permette di disattivare VBScript in Internet Explorer 11 per l’area Internet e per l’area dei siti con restrizioni.

Nota: Microsoft con il rilascio cumulativo di aggiornamenti, ha di recente provvedendo a disattivare VBScript limitatamente ad Internet Explorer 11, pertanto la disattivazione sulle altre versioni deve essere gestita autonomamente e in modo manuale.

·        Disattivare PowerShell

Powershell è un interprete dei comandi utilizzabile da riga di comando (CLI) per l’esecuzione di operazioni complesse e di una serie di componenti progettate per sfruttare le caratteristiche dell’ambiente Windows. Anche il malware sfrutta script eseguiti tramite PowerShell e i suoi comandi possono essere inclusi in script malevoli. Alcuni attacchi specifici tendono ad utilizzare tecniche “PowerShell-based” particolarmente sofisticate anche in campagne di malware “fileless”, dove nessun file viene memorizzato su disco e il codice dannoso va ad inserirsi, tramite la console, nella memoria RAM vanificando spesso le soluzioni di sicurezza tradizionali basate sul controllo delle firme dei file.

E’ pertanto consigliabile disattivare PowerShell sui sistemi maggiormente o direttamente esposti alle consuete minacce. Questa opzione viene gestita tramite la voce “Funzionalità Windows”, sita nel pannello di controllo, deselezionando la casella relativa a Windows PowerShell 2.0. Apire il pannello di controllo ed entrare in questa sezione “Pannello di controlloProgrammiProgrammi e funzionalità” e premere sul link nella colonna di sinistra “Attivazione e disattivazione delle funzionalità di Windows”. Si apre una finestra di popup nella quale deselezionare “windows PowerShell 2.0”

Nota: la disabilitazione del motore PowerShell non comporta impatti negativi sulle funzionalità native del sistema ma è bene sapere che alcune APP utilizzano ancora la PowerShell 2.0 nonostante sia in atto un processo di migrazione ad una versione più recente. Sebbene questa funzionalità sia già stata deprecata, rimarrà comunque attiva in Windows 10. Un ottimo tutorial in inglese https://www.tenforums.com/tutorials/111654-enable-disable-windows-powershell-2-0-windows-10-a.html 

 

·        Disattivare Windows Script Host

Windows Script Host (o WSH) è un linguaggio di scripting fornito in dotazione a tutte le principali distribuzioni di Windows e Windows Server a partire da Windows 98. La disabilitazione di questa funzionalità impedisce l’esecuzione di file con estensione .VBS (VBScript) che sono solitamente più potenti e versatili rispetto ai file batch (.bat) ma, per contro, la versatilità del Windows Script Host ha spinto i “malware writers” a sfruttarne i vantaggi per creare virus informatici e malware.

Su piattaforma Windows, per disattivare l’interprete di questo linguaggio, è necessario aggiungere una chiave di registro, valore DWORD dal nome “Enabled” settando il valore esadecimale a “0”,  ( se avete seguito il suggerimento “Disattivare l’esecuzione di VBScript” potete saltare questo passaggio ) :

1. Premere i tasti WINDOWS + R, quindi digitare regedit per  accedere al registro di sistema.
2. Navigare in HKEY_LOCAL_MACHINESoftwareMicrosoftWindows Script HostSettings
3. Creare (se non esiste già) una nuova chiave REG_DWORD denominata Enabled e assegnare ad essa un valore pari a 0 (zero).

Come ulteriore alternativa, è possibile applicare la stessa chiave utilizzando il prompt dei comandi (CMD), con diritti amministrativi, lanciando il comando seguente:

·         REG ADD “HKLMSoftwareMicrosoftWindows Script HostSettings” /v Enabled /t REG_DWORD /d 0 /f

Per limitare la disattivazione del componente a livello dell’utente sarà necessario agire verso il percorso:

·         REG ADD “HKCUSoftwareMicrosoftWindows Script HostSettings” /v Enabled /t REG_DWORD /d 0 /f

La disabilitazione di Windows Script Host inibisce l’esecuzione di file con estensione .vbs, .vbe, .js, .jse, .wsf e altre tipologie di script che sono largamente utilizzate come allegati nelle campagne di diffusione malware. Nel normale contesto lavorativo la disabilitazione di Windows Script Host non comporta reali limitazioni operative e pertanto, considerato l’elevato grado di diffusione di allegati .vbs, si consiglia la disattivazione dei tale linguaggio.

 

·        Disattivare l’esecuzione delle Macro

Le macro sono delle mini applicazioni che si realizzano all’interno di Microsoft Office con il programma Visual Basic for Application che permettono di automatizzare una serie di funzionalità. Sono normalmente utilizzate soprattutto all’interno dei fogli di calcolo di Excel ma possono essere realizzate anche per altri prodotti Office. Dal momento che sono sviluppate con codice VBA è possibile utilizzarle anche per fini malevoli. Negli ultimi periodi si nota una tendenza nell’offuscare pesantemente il codice delle macro, attività che complica i controlli di sicurezza atti a verificare la natura del codice. Nonostante i vari produttori di software abbiano nativamente disattivato l’esecuzione delle macro, apponendo un avviso di sicurezza ove esse fossero presenti, un utente poco attento o che considera fidato il mittente, può superare l’avviso accettando l’esecuzione della macro che, qualora malevola, andrebbe a avviare la catena di infezione.

Di seguito le varie possibilità per disabilitare le Macro di Office:

1.   Disabilitare le macro tramite Group Policy Editor
Eseguire “gpedit.msc” navigando fino al settaggio seguente:

–           Configurazione utente

–           Modelli amministrativi

–           Microsoft Word 20xx (dove per xx si indica l’esatta versione di MS Office in uso)

–           Opzioni Word

–           Sicurezza

–           Trust Center

Fare doppio click su blocca l’esecuzione delle macro nei file di Office da Internet, abilitando la funzione.

2.    Cambiare le impostazioni delle macro in Centro protezione
Le impostazioni delle macro sono reperibili nel Centro protezione. Se tuttavia si opera in un’organizzazione la modifica può essere gestita solo dall’amministratore di sistema.

·         Fare clic sulla scheda “File”.

·         Fare clic su “Opzioni”.

·         Fare clic su “Centro protezione” e quindi su “Impostazioni Centro protezione”.

·         In “Centro protezione” fare clic su “Impostazioni macro”.

·         Eseguire le selezioni desiderate.

·         Fare clic su “OK”.

Importante: La modifica delle impostazioni delle macro in Centro protezione ha effetto solo nell’applicazione di Office corrente. Le impostazioni non vengono modificate per tutte le applicazioni di Office quindi occorre procedere singolarmente modificando l’autorizzazione per Excel e Word che sono le principali applicazioni della suite Office coinvolte in eventi di diffusione malware da allegati di posta elettronica.

3.       Disabilitare le macro in Office tramite la modifica del registro di Windows
Per impostare il criterio di disattivare VBA (macro) per le applicazioni di Office, occorre definire la chiave DWORD denominata “VBAOff” applicando il valore su “1” nella sottochiave del registro di sistema in relazione alla versione di Microsoft Office installata:

Versione di Office
Percorso del registro di sistema
Office 2016
HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftOffice16.0Common
Office 2013
HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftOffice15.0Common
Office 2010
HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftOffice14.0Common
Office 2007
HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftOffice12.0Common
Office 2003
HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftOffice11.0Common
Office XP
HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftOffice10.0Common
A titolo di esempio, il risultato dell’operazione di inserimento della chiave è mostrato nella figura seguente:

Nota: Agire tramite la chiave di registro di sistema di Windows impedisce a Microsoft Excel, FrontPage, Outlook, PowerPoint, Publisher e Word di utilizzare Visual Basic per le applicazioni.

È possibile inserire la chiave indicata anche tramite il prompt dei comandi (diritti amministrativi) nella forma:

·         REG ADD “HKLMSoftwareMicrosoftOffice1X.0Common” /v VBAoff /t REG_DWORD /d 1 /f

Dove X è la versione di Office in uso. L’esecuzione del commando viene gestita come da immagine seguente:

Per ulteriori dettagli consultare la risorsa Attivazione o disattivazione di macro nei file di Office pubblicata da Microsoft in riferimento ad Office 365, Office Online, Office 2019, Office 2016, Office 2013, Office 2010, Office 2007.

 

·        Disattivare JavaScript

JavaScript è un linguaggio di programmazione sviluppato da Netscape Inc. e, nonostante il suo nome, non fa parte della piattaforma Java. E’ uno dei componenti fondamentali per creare contenuti web insieme a HTML e CSS ed è supportato nativamente da tutti i moderni browser. JavaScript permette ai creatori di siti web di far eseguire codice agli utenti che visitano il sito, ragion per cui viene spesso abusato dai cyber criminali per il compimento dei loro attacchi. Uno dei più comuni scenari consiste nell’invitare un utente ad aprire un collegamento internet che punta verso un sito appositamente predisposto per far eseguire codice malevolo tramite il browser. Un altro contesto particolarmente insidioso è legato al salvataggio dei file JavaScript (.js), che vengono scaricati nel PC durante la navigazione. Navigando su un sito web precedentemente compromesso, tali file possono dare seguito a quello che viene definito un attacco “drive-by” – o “drive-by download attack” – che a sua volta innesca, con metodi differenti, una serie di attività malevole finalizzate alla compromissione del sistema operativo in uso. La disattivazione o la  corretta gestione delle impostazioni lato browser, che consenta autorizzazioni specifiche per l’utilizzo di questo linguaggio, influisce nel mitigare un consistente numero di minacce cibernetiche anche rivolte ad attacchi di tipo zero-day.

Disattivare JavaScript in Internet Explorer
Di seguito la procedura per inibire a tutti i siti Web all’interno dell’area Internet l’esecuzione di script in Internet Explorer:

Nel menu del browser web, fare clic sull’icona “Strumenti” (simile a un ingranaggio) quindi selezionare “Opzioni Internet”. Una volta aperta la finestra “Opzioni Internet”, selezionare la scheda “Sicurezza” verificando che sia selezionata l’area “Internet” quindi fare clic sul pulsante “Livello personalizzato…”.

Nella finestra di dialogo “Impostazioni di sicurezza – Area Internet”, individuare “Esecuzione script attivo” facendo clic su “Disattiva” per impedire l’esecuzione degli script attivi:

Confermando la modifica tramite il pulsante “Ok” verrà mostrato un messaggio di Avviso nel quale viene richiesta un’ulteriore conferma per “Modificare le impostazioni per questa area”.

Fare clic su “OK” nella parte inferiore della finestra “Opzioni Internet” per chiudere la finestra di dialogo.

NOTA: Per consentire l’esecuzione di script per uno o più siti Web specifici è necessario lasciare disabilitata l’impostazione relativa allo scripting nell’area Internet quindi aggiungere i siti Web ritenuti sicuri all’area siti attendibili:

Disattivare JavaScript in Google Chrome
Per disabilitare JavaScript in Google Chrome, occorre accedere alle “Impostazioni”, quindi alla funzionalità “Avanzate”. Successivamente da “Impostazioni contenuti”, individuare “JavaScript” quindi disabilitare la voce “Consentita” ottenendo una schermata simile a quella di seguito mostrata:

In alternativa è possibile digitare sulla barra degli indirizzi “chrome://settings/content/javascript” dando invio per accedere al medesimo pannello, quindi impostare l’opzione da “Consentita” a “Bloccato”.

Disattivare JavaScript in Firefox
A partire da Firefox versione 23, per disabilitare JavaScript occorre digitare “about:config” nella barra degli indirizzi del browser e premere “Invio”, quindi individuare nella lista la voce “javascript.enabled” e cliccare due volte per cambiare il valore in “False”. Per rendere effettiva la modifica occorre riavviare Firefox.

Per riattivare JavaScript, sarà necessario impostare il valore di “javascript.enabled” sul valore “True”.

Nota sulle limitazioni derivate dalla disabilitazione di JavaScript:
Disabilitare JavaScript dal browser in uso interferisce con le funzionalità erogate da quei servizi web che utilizzano questo linguaggio di scripting. É pertanto possibile compensare l’eventuale limitazione:

·         Definendo una lista dei siti consentiti – quindi non soggetti alle limitazioni – dichiarando tutti i domini internet attinenti l’attività lavorativa o quelli fidati consultati per finalità personali;

·         Dotando la postazione di lavoro di due distinti browser, impostando come predefinito quello con le restrizioni JavaScript ed utilizzando quello secondario – con JavaScript abilitato – per navigare sui siti internet consentiti in quanto legati all’attività lavorativa;

·         Valutando l’utilizzo di specifici componenti aggiuntivi per Chrome o Firefox, prelevati dai rispettivi store, utili nel facilitare la gestione in tempo reale e puntuale dei JavaScript.

Fonte : https://www.cert-pa.it/wp-content/uploads/2019/11/CERT-PA-B006-191119.pdf

 

Proteggere il PC dal ransomware ( consigli microsoft )