Zajímavý způsob nákazy havětí

[DukeNuke]

Ahoj, s tím jsem se setkal poprvé. Malware zjistil eset, současně s tím přišlo varování od providera na podezřelou síťovou komunikaci. Jednalo se o doplněk chromu ChatGPTstealer, který vytvoří jakýsi AI postranní panel v prohlížeči a zabývá se sběrem dat a odesíláním na vzdálené servery.
Zajímavý je způsob, jakým se to dostalo k nám. Uživatel si tento doplněk nainstaloval doma. V práci si přihlásil chrome do svého soukromého účtu a synchronizací se doplněk přenesl na pracovní PC.
S tím jsem se zatím ještě nesetkal, tak to sem dávám. Otázkou je, zda se proti tomu dá nějak bránit. Už se někdo z vás s něčím takovým potkal?

[keemo]

odpovedel sis sam: V práci si přihlásil chrome do svého soukromého účtu a synchronizací se doplněk přenesl na pracovní PC.
Tohle je zasadni chyba.
Zrusit prihlaseni a nejak jim to zatrhnout. Nevim zda pomuze na pc nastavit omezena prava?

[DukeNuke]

Ano, chyba to je. Odstranění je provedeno kompletní reinstalací dotčeného PC. Účet má pochopitelně pouze User práva. To ovšem nic neznamená, chrome si nainstaluješ do počítače i bez práv. Pak "sedí" jen v tvém profilu a může provádět jen to, kam ho práva pustí.
Jak to ale vyřešit? Zabránit přihlášení k jakémukoli účtu, nejde, protože se používají i účtxy pracovní. Jde třeba v chromu zabránit instalaci doplňků? Tak aby si nastavení BFU nemohl změnit? Sice se to nebude líbit, ale aspoň něco.

[p32]

A co ti brání ten doplněk odinstalovat?

[josef_novak]

Dobře nastavená doména neumožní instalaci jakýchkoliv doplňků do prohlížeče a jestli byl tento doplněk mimo blocklist, nebo byl povolen v allowlistu, tak to je chyba admina.

[Mahoney]

A pak se ještě můžeš zeptat, jestli je jeho práce programátor webových stránek, a ten je bez prohlížeče s doplňky úplně v pr..li.

Stačí vypnout snchronizaci, já ji mám vyplou vždycky všude (já vím, není to pro BFU).

[DukeNuke]

@josef_novak: Doménová politika tohle vůbec řešit neumí. U woken lze použít GPO, to ovšem znamená doplnit do blocklistu všechny škodlivé doplňky (nemožné), nebo zakázat úplně všechno (nežádoucí). Možná by šlo pouze povolit URL, ze kterých lze instalovat. Nikde jsem ale nenašel mechanismus, jakým se doplněk synchronizuje, pokud by se natáhl z již nakaženého chromu, je to pro kočku.
@Mahoney: vypnout synchro vždy a všude není řešení, pracovní účty by byly vyřazeny taky.

[Mahoney]

Platné řešení je poplatné uživateli, tzn. je pro každého uživatele vždycky trochu jiné.

[josef_novak]

Logicky přes GPO pravidla platné v doméně.

[DukeNuke]

Buďme přesní - na tom není nic logického. Skupinové politiky můžeš aplikovat na skupinu, nebo na celou doménu. A můžeš je aplikovat i bez domény.
Ať tak, či onak, napadá někoho nějaké řešení?

[pocitujlasku]

Firemna politika funguje vzdy sposobom: vsetko je zakazane a povolia sa len konkretne veci pre konkretnych ludi. a nie povolene vsetko a zakazeme pre urcitu skupinu

[martinkopp]

Je to jak píše pocitujlasku. Zakázat instalaci doplňků přes GPO a pokud někdo bude konkrétní doplněk potřebovat, hodit ho po dohodě do výjimek. Jednoznačně chyba člověka který se stará ve firmě o počítače, ať už je to kdokoliv. Musí nezapomenout zakázat aktualizace doplňků bez schválení správce. Ty doplňky dělá kdekdo a co je dnes OK, zítra být nemusí.

[DukeNuke]

[martinkopp]

Synchronizaci muzes mit povolenou, pokud budes mit v GPO zakazano instalovat doplnky, nic se instalovat nebude ani pri synchronizaci.

[DukeNuke]

OK. díky. Holt budeme muset zatrhnout všechno a povolovat jen lokálně na vyžádání.