Корпорація Майкрософт відкочує макроблок за замовчуванням в Office

Нове обмеження безпеки Office, яке було серйозним ударом по розповсюдженню фішингу та зловмисного програмного забезпечення електронною поштою, очевидно, було скасовано.

Корпорація Майкрософт вирішила скасувати нове обмеження безпеки в Office, яке було оголошено «картинкою» для кібербезпеки індустрії, тому що це заблокує улюблену – і ефективну – техніку, яку використовують шахраї для розповсюдження фішингових і шкідливих програм у електронною поштою.

З квітня Microsoft має за замовчуванням заблоковані макроси VBA, отримані з Інтернету

у програмах Office на пристроях під керуванням Windows. Серед програм, які розглядалися, були Excel, PowerPoint, Visio та Word.

ПОБАЧИТИ: Найкращий ноутбук для Windows 2022: порівняння найкращих ноутбуків

Корпорація Майкрософт запустила макроблок у поточному каналі (попередній перегляд) Office у Windows з наміром розгорнути його для інших Канали розповсюдження офісу, включаючи місячні корпоративні канали, піврічні корпоративні канали та версію довгострокового каналу обслуговування Офіс. Цю функцію було розгорнуто на поточному каналі.

але, через Bleeping Computer, Microsoft у четвер повідомила адміністраторам, що вона скасовує зміни без жодних інших пояснень рішення, окрім того, що воно «ґрунтується на відгуках».

«Грунтуючись на відгуках, ми скасовуємо цю зміну з Current Channel», — повідомила Microsoft адміністраторам у центрі повідомлень Microsoft 365 у четвер.

Однак Microsoft, схоже, припускає, що відкат є тимчасовим, повідомляючи адміністраторам Microsoft 365: «Ми працюємо над покращенням цього досвіду. Ми надамо ще одне оновлення, коли будемо готові знову випустити на поточний канал. Дякую тобі."

Цей крок застав адміністраторів Office зненацька. Один користувач прокоментував лютневий пост у блозі Microsoft, у якому анонсувала цю функцію запитав: «Це лише я, чи Microsoft скасувала цю зміну на поточному каналі?»

«Грунтуючись на отриманих відгуках, почався відкат», — написала співробітниця Microsoft Анджела Робертсон. «Триває оновлення про відкат. Прошу вибачення за будь-які незручності, пов’язані з відкатом, який почався до того, як оновлення про зміни стало доступним».

ZDNet запитала Microsoft, чому вона вирішила скасувати функцію, і оновить історію, якщо вона дасть відповідь.

Британський експерт з кібербезпеки Кевін Бомонт у лютому назвав макроблок «потенційно кардинальним для індустрії кібербезпеки». і, що важливіше, клієнти», оскільки на макроси припадає приблизно чверть усіх інцидентів початкового доступу програм-вимагачів розгортання.

Бомонт був шокований тим, що Microsoft скасувала функцію, не повідомивши клієнтів.

«Єдина найбільш вражаюча зміна, яку Microsoft могла зробити, щоб радикально покращити кібербезпеку в реальному світі проблема в їхньому власному саду (з якого вони безпосередньо отримують прибуток) була відкочена, навіть не будучи спілкувався", – написав він у Twitter.

«Це жахлива ідея», написав Єва Гальперін, директор з кібербезпеки Electronic Frontier Foundation. «Я втратив уявлення про кількість кампаній, націлених на громадянське суспільство, які використовували офісні макроси для встановлення зловмисного програмного забезпечення».

Більшість людей не використовують макроси, але деякі бізнес-підрозділи та організації значною мірою покладаються на Visual Basic для Сценарії макросів програм (VBA) або «активний вміст» для автоматизації повторюваних завдань у електронних таблицях і документів. Напередодні розгортання Microsoft попередили фінансові відділи та незалежних постачальників програмного забезпечення зокрема, щоб змінити спосіб використання макросів.

ПОБАЧИТИ: Це загрози кібербезпеці завтрашнього дня, про які варто подумати сьогодні

Протягом багатьох років Office за замовчуванням вимикав запуск макросів. Коли користувачі отримують електронний лист із вкладенням Office, вбудованим у макрос, Office відображає панель сповіщень, яка попереджає користувачів про ризики безпеці, пов’язані з виконанням цих макросів.

Але користувачі можуть увімкнути макроси, натиснувши кнопку, і зловмисники мріяли про те, щоб обманом змусити користувачів це зробити. Наприклад, коли користувач завантажує шкідливий документ Excel із макросом, текст у документі стверджує, що файл «захищений» Microsoft і що для перегляду вмісту користувач повинен увімкнути макроси.

Microsoft у грудні детально описав, наскільки просунуті кіберзлочинні групи, такі як Qakbot використовували саме такий трюк, щоб отримати свої Макроси VBA та застарілі макроси Excel 4.0 запускати та звідти розповсюджувати програмне забезпечення-вимагач або зловмисне програмне забезпечення для крадіжки інформації.

Отже, блокування за замовчуванням для всіх макросів Office з Інтернету, яке, як очікується, створить серйозну перешкоду для доставки зловмисного програмного забезпечення через шкідливі вкладення електронної пошти. Це був крок вперед від a «тактична» зміна Microsoft представила в Office 2016 які дозволяють адміністраторам «вибірково використовувати макрос для набору надійних робочих процесів» і «блокувати легкий доступ, щоб увімкнути макросів у сценаріях, які вважаються високим ризиком." Тоді Microsoft заявила, що 98% загроз, націлених на Office, використовують макроси.

Новий макроблок VBA за замовчуванням представляв червоне попередження та кнопку «дізнатися більше», яку можна натиснути, коли користувачі відкривають вкладення або завантажують ненадійний файл з Інтернету, що містить макроси.

Кнопка «дізнатися більше» веде до сторінка Microsoft, на якій пояснюється, як макроси використовують люди з поганими намірами а внизу сторінки, за спадною стрілкою щодо розблокування макросів, є пояснення того, як увімкнути макроси вручну.

Коли ввімкнено автоматичне блокування, Windows додає атрибут Mark of the Web (MOTW) до файлів Office, отриманих з Інтернету. Адміністратори можуть видалити MOTW вручну. Microsoft має подробиці про як це зробити в своєму документі для функції.

Один коментатор у блозі Microsoft розкритикував компанію за відсутність інформації про відкат, а також за те, як вона взагалі повідомила про автоматичне блокування. Вони також зазначають, що поточна реалізація блокування макросів за допомогою MOTW занадто складна для малого та середнього бізнесу (SMBs).