Des fichiers JavaScript malveillants sont actuellement utilisés par les pirates informatiques dans des e-mails frauduleux afin de piéger les utilisateurs. Dernièrement, de fausses mises à jour usurpant les pages comme Google Chrome, Mozilla Firefox et Internet Explorer sont utilisés par les hackers. En cliquant sur le lien, l’utilisateur déclenche le téléchargement d’un fichier JavaScript qui est ensuite suivi de l’exécution d’un logiciel malveillant. Comment ne pas être victime de ce type d’attaques ?
Bloquer JavaScript dans la passerelle de courrier électronique
Puisqu’il n’y a aucune raison logique pour qu’un utilisateur lambda reçoive des fichiers JavaScript, il est envisageable de bloquer tous les types de fichiers avec une extension « .js » et « .jse » au niveau de la passerelle de courrier électronique. À part cela, il est aussi impératif de faire une vérification régulière de tous les types de fichiers à bloquer. Il ne faut autoriser que les fichiers utiles. Cette vérification doit aussi se faire au niveau des pare-feu, du courrier électronique, des transferts de fichiers et tout autre canal. En ce qui concerne le portail internet, l’action à entreprendre est la même. En revanche, il est aussi conseillé de se documenter sur les fichiers qui sont autorisés ou non sur le site.
Ouvrir par défaut les fichiers JavaScript avec le Bloc-notes
Tous les fichiers JavaScript reçus peuvent être associés avec un autre fichier comme Bloc-notes. Pour ce faire, il est conseillé d’ouvrir les applications JavaScript par défaut sur Bloc-notes. Identifiez tous les fichiers avec une extension « . js » et « .jse », puis il faut effectuer le paramétrage. Cependant, pour l’ensemble du domaine, il faut utiliser la stratégie de groupe en passant par l’option configuration de l’ordinateur, modèles d’administration, préférences, paramètres du panneau de configuration et options des dossiers. Il faut ensuite ajouter le type de fichier. Ce processus permet de bloquer l’exécution automatique de ces deux types de fichiers avec JavaScript. Par ailleurs, si certains fichiers dotés de ces extensions sont utiles, il est toujours possible de modifier la configuration.
Réduire la surface d’attaque
Afin de mieux défendre le réseau contre les fichiers JavaScript malveillants, il est envisageable d’utiliser les capacités de réduction de surface d’attaques (ASR) de Microsoft Defender. Il existe plusieurs méthodes pour configurer les règles ASR, mais la plus fiable est de créer un profil de protection ou encore choisir un profil de protection de point d’extrémité existant. À titre d’information, les protections contre JavaScript ou VBScript sont toujours disponibles avec une licence Windows 10 professionnelle, et même sans licence complète Windows 10 Entreprise ou Microsoft 365 E5. En revanche, il faut noter qu’en absence d’une licence professionnelle, la surface d’attaque ne peut pas être restreinte efficacement. En effet, il est probable de perdre certaines capacités de gestion comme la surveillance, l’analyse et les flux de travail qui sont disponibles sur Microsoft Defender pour point de terminaison. Il en est de même pour les capacités de rapport ainsi que de configuration dans le centre de sécurité de Microsoft 365.