Компания Microsoft отключила макросы Excel 4.0 по умолчанию в последнем выпуске своей программы для работы с электронными таблицами, чтобы помочь пользователям защититься от связанных с ними угроз безопасности.
Этот параметр, выпущенный в качестве дополнительной настройки в параметрах Excel Trust Center в июле, теперь используется по умолчанию при открытии макросов Excel 4.0 (XLM), говорится в сообщении Microsoft в блоге.
Макрос - это серия команд, которые можно использовать для автоматизации повторяющихся задач, однако вредоносные макросы уже давно представляют значительный риск для безопасности. Вам не обязательно включать макросы, чтобы увидеть или отредактировать файл - только если вам нужна функциональность, предоставляемая макросом, но мошенники будут пытаться обманом заставить неопытных пользователей включить макросы, а затем используют эту функциональность в атаках.
Ограничение макросов Excel 4.0 - это попытка противостоять росту числа программ-шифровальщиков и других групп вредоносного ПО, использующих макросы в качестве вектора первоначального заражения. Злоумышленники начали экспериментировать с устаревшими макросами Excel 4.0 в ответ на то, что Microsoft в 2018 году ввела ограничения на макросценарии, написанные на Visual Basic for Applications (VBA).
Первоначально настройки Excel Trust Center были заточены под организации, которые хотели, чтобы VBA и устаревшие макросы запускались через параметр «Включить макросы Excel 4.0, когда макросы VBA включены». Это позволяло администраторам контролировать поведение макросов, не затрагивая макросы VBA.
Теперь в Excel в сборке 16.0.14427.10000 и более поздних версиях макросы отключены по умолчанию. Администраторы по-прежнему могут настроить параметр в управлении политикой приложений Microsoft 365.
Компания Microsoft добавила несколько новых параметров групповой политики относительно обновлений, которые были доступны в июле: теперь есть возможность управлять параметром политики в службе политик облака Office, которая применяется к пользователям, получающим доступ к приложениям Office с любого устройства с помощью учетной записи Active Azure Directory (AAD) и из Microsoft Endpoint Manager.
Чтобы заблокировать макросы Excel на всех устройствах, включая новые файлы, созданные пользователями, администраторы могут установить групповую политику на «Запретить Excel запускать XLM», что можно сделать с помощью редактора групповых политик или записей системного реестра ОС.
Это должно помочь администраторам снизить угрозы от вредоносного ПО на базе VBA и XLM с помощью политики. Microsoft решила проблему антивирусной защиты с помощью интеграции между своим интерфейсом сканирования антивирусного ПО (AMSI) и Office 365, с которым могут интегрироваться Defender и антивирусы сторонних производителей.
Интеграция AMSI и Office 365 позволяла сканировать макросы Excel 4.0 во время выполнения еще в прошлом году, аналогично возможности сканирования макросов VBA во время выполнения, появившейся в 2018. Когда появилось сканирование VBA для Excel, злоумышленники массово перешли к более старым макросам на базе Excel 4.0, которые, как они знали, по-прежнему использовались организациями и были достаточно мощными для вызова интерфейсов Win32 и запуска команд командного интерпретатора.
Источник: https://www.zdnet.com
