Plusieurs solutions peuvent être mises en place pour essayer de lutter contre ce type d’attaque.
La première serait de forcer l’utilisation de Windows Defender comme nous le proposons ici.
Cette manière permettra de supprimer directement les fichiers malveillants contenant des macros connues. Toutefois si les macros sont nouvelles et pas connues, il n’y a pas de garantie que Windows defender agisse.
En effet dans le cadre de l’exercice, nous avons du désactivé windows defender dans l’objectif de faire marcher l’exploit. Dans le cadre d’une vrai attaque, un exploit metasploit ne sera pas utilisé, ou du moins pas sans etre modifié, car ceux-ci sont trop connu.
Une autre idée peut être de sécuriser directement le serveur de mail, en y installant un antivirus du style ClamAV pour controler les flux SMTP et verifier le contenu des mails. Vous trouverez ici comment le mettre en place.
Pour éviter que des macros soient executées inintentionnellement, vous pouvez aussi configurer les différentes autorisations pour Microsoft Office et OpenOffice pour soit interdire toutes les macros ou alors n’autoriser que celles signées par une personne/éditeur de confiance.
L’utilisation d’un antivirus au sein de l’entreprise, installé automatiquement par gpo sur les ordinateurs du groupe, avec des scans automatiques et des bloquages déterminé à l’avance, peut etre une alternative à windows defender. Celle-ci peut cependant se révéler cher.