หลังจากก่อนหน้านี้เราได้นำเสนอ DDE Attack ไปก็จะพบว่ามันโจมตีได้ไม่ยาก แต่ก็ยังคงต้องหลอกล่อให้ user กดตกลงในการที่จะ update content อยู่ ซึ่งการโจมตีดังกล่าวก่อนหน้านี้ทาง Microsoft กล่าวว่าจะไม่ fix แต่อย่างใด เพราะถือว่าเป็น feature หนึ่งเท่านั้น แต่เนื่องด้วยความที่มันเริ่มมี Malware หลายตัวเริ่มแพร่กระจายด้วยวิธีการดังกล่าวแล้ว Microsoft ต้องเริ่มขยับทำอะไรซักอย่าง ล่าสุดจึงได้ออกคู่มือการรับมือการโจมตี DDE Attack ออกมาแล้วครับ

โดยหลักๆจะเป็นการแก้ไข Registry เพื่อปิดการใช้งาน automatic update ครับ(ซึ่งก่อนหน้านี้ทาง Techsuii ได้พูดถึงไปแล้วครับ) แต่มีสิ่งที่แตกต่างนั่นคือการเพิ่มการป้องกันใน Windows 10 Fall Creator update (version 1709)ได้มีการเพิ่มส่วนที่เรียกว่า Attack Surface Reduction (ASR)

Attack Surface Reduction เป็นส่วนหนึ่งของ Windows Defender Exploit Guard ที่จะป้องกัน suspicious behaviors จาก malicious document ต่างๆให้ รวมถึงการกัน Office ทำต่างๆดังนี้

  • Block Office apps​ ในการสร้าง executable content
  • Block Office apps ในการ run child process
  • Block Office apps ในการ inject code เข้าไปยัง process
  • Block Win32 ที่จะ import macro code จาก Office
  • Block obfuscated macro code

ถือว่าเป็นก้าวที่ดีของ Microsoft ที่จะทำให้ลูกค้าปลอดภัยมากขึ้นครับ

Source:: Microsoft