Microsoft advarer om, at hackere misbruger det indbygget Quick Assist i Windows til at få fjernadgang til brugeres computere gennem manipulation via opkald eller e-mail (social engineering). Vi anbefaler, at I deaktiverer Quick Assist på jeres klientenheder, hvis I ikke aktivt anvender det i jeres organisation.

Udfordring

Trusselsaktøren Storm-1811 benytter opkald og e-mails til at udgive sig for at være en virksomheds IT-support. Brugeren guides til at åbne Quick Assist og dele sin skærm hvorefter hackeren kan få fuld kontrol over enheden. Dette misbrug har allerede ført til installation af malware som QakBot, Cobalt Strike og i sidste ende Black Basta ransomware i virksomheder. Quick Assist er installeret som standard på Windows 11 og kræver kun få klik for at give adgang, hvilket gør det ekstra attraktivt for hackere, som nu udnyttes i målrettede kampagner.

Anbefaling

Quick Assist er et ikke så ofte anvendt fjernstyringsværktøj, så vores anbefalinger er derfor at deaktivere det, hvis ikke det anvendes. Det er en enkel og effektiv måde at reducere risikoen for social engineering-angreb og ransomware. Samtidig anbefales det at informere brugere om, at de aldrig bør acceptere uopfordret fjernsupport og kun dele skærm, hvis de selv har initieret kontakten.

Ønsker du hjælp?

Ønsker du assistance til at deaktivere Quick Assist, så kan du blot kontakte os med henvisning til denne e-mail og oplyse, at I ønsker opgaven igangsat eller stille spørgsmål, hvis du har behov for afklaring. Opgaven estimeres til 1-2 konsulenttimer afhængigt af jeres miljø inkl. test og afregnes herefter.

Vil du vide mere?

Du kan læse mere om emnet her:

Threat actors misusing Quick Assist in social engineering attacks leading to ransomware | Microsoft Security Blog