Alerta de seguridad - Validación de archivos de Office: ¿cómo decidir si proceder?

Navega tus respuestas
4

Recientemente, al abrir un documento de Microsoft Word que provenía de una fuente confiable, recibí el siguiente mensaje de advertencia:

Elmensajedeadvertenciasetitula"Alerta de seguridad - Validación de archivos de Office". Dice "ADVERTENCIA: la validación de archivos de Office detectó un problema al intentar abrir este archivo. Abrirlo probablemente sea peligroso y puede permitir que un usuario malintencionado se haga cargo de su computadora. - Comuníquese con el remitente y pídale que vuelva a guardar y re-guardar. envíe el archivo. Para mayor seguridad, verifique en persona o por teléfono que lo enviaron. Acciones adicionales - Proteja su computadora con estas: Opciones más seguras "

Dado que el archivo provino de una fuente confiable, y confío en que provenga de ellos, mi primera inclinación es sospechar que esto podría ser un falso positivo. ¿Cómo debo decidir si proceder o no?

(Hacer clic en "Opciones más seguras" no proporciona nada útil.)

Esta es una instancia clásica de un usuario al que se le pide que tome una decisión de seguridad, donde hay dos opciones posibles: continuar (y hacer su trabajo), o cancelar (y no hacer su trabajo). Sabemos cuántos usuarios actuarán. ¿Cómo debería actuar en este tipo de situación? ¿Qué información o criterios debe utilizar uno para determinar si debe proceder o no, al recibir este mensaje de advertencia en particular?

    
pregunta D.W. 01.08.2012 - 09:09
fuente

2 respuestas

2

Si el documento proviene de una fuente confiable que se le entregó de manera segura, procedería con la apertura del documento. En este escenario, consideraría que la posibilidad de que sea un falso positivo sea lo suficientemente alta como para justificar el procedimiento para realizar su trabajo.

Sin embargo, si el documento proviene de una fuente no confiable, o se entrega de una manera que podría tener la posibilidad de que un atacante malicioso modifique el archivo, trataría de encontrar una solución con la parte que proporcionó el documento. o simplemente no abrir el archivo.

También existe la posibilidad de que la fuente, aunque confiable, pueda haberse infectado con malware que está intentando propagarse a través del documento. Gracias @Polynomial por señalarlo.

Una forma de verificar si el documento es realmente malicioso sería ejecutarlo en un entorno de espacio aislado como una máquina virtual, lo que debería evitar que el malware se propague a su sistema operativo host, si es que hay alguno. Sin embargo, esto es bastante problemático e involucra habilidades altamente técnicas como el análisis de malware, que el usuario promedio no tiene.

Gran parte de esto se reduce a su apetito por el riesgo. ¿Cuánto confías en la persona que proporcionó el documento? ¿Cuánto confías en el mecanismo de entrega?

En su caso, procedería, pero es difícil dar una respuesta general, ya que una situación diferente requiere acciones diferentes.

    
respondido por el Ayrx 01.08.2012 - 09:28
fuente
1

Por lo que sé sobre la Validación de archivos de Office: ayuda a detectar y prevenir ataques de formato de archivo o ataques de confusión de archivos al escanear formatos de archivos binarios de Office contra un esquema de archivo predefinido.

Si el archivo proviene de una fuente confiable, puede abrirlo. A veces, el esquema de archivo predefinido sale mal cuando su documento se crea con aplicaciones de terceros. Aparte de eso, puedes intentar ver los metadatos del archivo para verificar si se ha manipulado y no es malicioso.

Para estar seguro, puede volver a confirmar preguntando a la persona que le envió el archivo si realmente le envió el archivo. Si está realmente paranoico, ejecute el archivo en un entorno de espacio aislado. Realmente no recomendaría subir el documento a VirusTotal y los Me gusta si el documento es de naturaleza sensible.

    
respondido por el Metahuman 01.08.2012 - 11:25
fuente

Lea otras preguntas en las etiquetas

Seguridad en la red inalámbrica de sensores ad hoc (sin acceso físico) ¿Es posible modificar una CA sin tener que volver a emitir todos los certificados derivados?