Как хакеры обходят блокировку макросов Microsoft Office

превосходный герой

Макросы могут быть очень полезными инструментами в Microsoft Office. Большинство макросов Microsoft Office используют макросы Visual Basic для приложений (VBA) или Excel 4.0 (XLM). Эти языки программирования и макросы имеют удивительный доступ к системным ресурсам на компьютерах с Windows, особенно если учесть, что они работают только из Microsoft Office . Преимущество этих макросов заключается в упрощении сложных функций, таких как автоматизация в Microsoft Excel или проверка полей в формах, которые могут быть интегрированы в документ Microsoft Word, и это лишь некоторые из них.

Однако, несмотря на их полезность, макросы также часто используются для развертывания вредоносных программ, поскольку они способны загружать и запускать внешнее программное обеспечение. Поскольку большинство приложений Office могут интегрироваться друг с другом, макрос может, например, получить вашу адресную книгу из Outlook и позволить любым вредоносным программам, которые вы могли заразить, отправлять вредоносную полезную нагрузку вашим контактам. Доминирование Microsoft в области производительности и операционных систем уже давно сделало их программное обеспечение богатыми целями, причем угол атаки часто приводит к макросам.
Microsoft недавно выпустила исправление для большинства новых версий Microsoft Office , отключающее макросы , если открываемый файл Office был помечен как «загруженный из Интернета». Изначально флаг был автоматическим и включался везде у всех пользователей. Тем не менее, многие пользователи малого бизнеса, которые полагаются на макросы, попросили Microsoft повременить с такими радикальными изменениями, и поэтому исправление было отменено , к сожалению, без особого уведомления . Сегодня у системных администраторов есть возможность включить флаг безопасности для обнаружения макросов в сети в качестве групповой политики, но по умолчанию он включен не для всех. Таким образом, согласно недавнему отчету , макросы все еще могут быть вектором атаки. компанией Proofpoint, занимающейся кибербезопасностью, вредоносные программы и субъекты угроз ищут новые векторы атак, которые могут обойти более строгие политики безопасности Microsoft в отношении макросов.

статистика контейнеров и макросов
График, показывающий контейнерные кампании и макрокампании (источник: Proofpoint)

Как они могли это сделать? По сути, заставляя пользователей делать дополнительный шаг при загрузке вложений. Если файл Excel загружается из веб-браузера или в виде прямого вложения из электронной почты, он будет помечен как исходящий из Интернета. Однако, если файл создан внутри файла в стиле контейнера, такого как zip, rar, iso, img или другого контейнера, местом происхождения будет локальный диск в соответствии с Windows. Поскольку файл был извлечен из сжатого контейнера, флаг «из Интернета» не применяется.

Файлы LNK также можно использовать для обхода последних мер Microsoft. На компьютерах с Windows файлы LNK используются для таких вещей, как ярлыки на рабочем столе. Менее опытные пользователи могут щелкнуть LNK-файлы и получить ссылку на полезную нагрузку вредоносного ПО, которое может уже находиться локально, или даже подтолкнуть к загрузке вредоносного ПО. Статистика Proofpoint показывает, что количество угроз, основанных на LNK, значительно увеличилось после объявления Microsoft об ограничении поведения по умолчанию и использования макросов.

график статистики lnk
График, показывающий рост кампаний вредоносных программ LNK (Источник: Proofpoint)

Независимо от мер и возможных ограничений, введенных корпорацией Майкрософт, обучение и обучение в области безопасности остаются лучшей защитой пользователей от вредоносного ПО. Никогда не щелкайте ссылки и не открывайте файлы из ненадежных источников. Системным администраторам, конечно же, также рекомендуется регулярно напоминать и информировать пользователей о передовых методах обеспечения безопасности.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал