圖片來源: 

微軟

隨著駭客找出Office預設封鎖巨集的因應之道,微軟也跟著強化安全工具。微軟宣布 Windows 11的智慧應用程式控管(Smart Application Control,SAC)也將預設封鎖來自網路上的ISO及LINK等檔案。

微軟企業及OS安全部門副總裁David Weston指出,Windows 11的SAC現在也支援封鎖和巨集一樣具有Mark of the Web(MoTW)的檔案,如ISO及LNK檔。

這是在安全廠商本周公布惡意郵件附檔新趨勢後,微軟做的安全強化。Proofpoint指出,微軟關閉Office XL4及VBA巨集後,釣魚詐騙使用包含巨集的附檔次數驟減66%,但使用ISO、RAR、LNK等類型檔案感染用戶則大增數十倍。

微軟於4月首次公布SAC(下圖),宣稱是安全防護的一大進展。根據微軟的說明,SAC是根據微軟AI雲端安全分析服務,為用戶欲執行的App給定安全預測評分。若App被認定為惡意或不安全檔案,就會被SAC封鎖執行。若無法使用該雲端服務,SAC會檢查App是否具有有效的簽章,未獲得簽章,或是簽章過期,也會被SAC判定不安全而封鎖。

圖片來源/微軟

知名安全專家Will Dormann發現,SAC會預設封鎖.img、.VHD和.VHDX等檔案類型(下圖)。Bleeping Computer的測試則證實,.appref-ms、.bat、.cmd、.chm、.cpl、.js、.jse、.msc、.msp、.reg、.vbe、.vbs、.wsf也在預設封鎖之列。

圖片來源/Will Dormann

SAC僅在Windows 11以全新安裝(clean install)時啟動。但用戶可以手動關閉,或是在評估版(evaluation mode)中,「微軟認為用戶不適用SAC」而將之關閉。

目前只有Windows 11有SAC,這功能僅釋放給Windows測試版的Insider用戶。安裝Windows 11 22H2預覽版的用戶已可測試。


熱門新聞

Advertisement