В понедельник компания Microsoft заявила, что предпринимает шаги по отключению макросов Visual Basic for Applications (VBA) по умолчанию во всех своих продуктах, включая Word, Excel, PowerPoint, Access и Visio, для документов, загруженных из Интернета, в попытке устранить целый класс векторов атак.
«Злоумышленники отправляют макросы в файлах Office конечным пользователям, которые неосознанно включают их, доставляют вредоносную полезную нагрузку, и последствия могут быть серьезными, включая атаки вредоносного ПО, кражу личных данных, потерю данных и удаленный доступ атакующего к машине жертвы» - заявила Келли Эйкмайер в сообщении, анонсирующем этот шаг.
Хотя компания предупреждает пользователей об опасности разрешения макросов в файлах Office, ничего не подозревающих пользователей - например, получателей фишинговых писем - все еще могут обманом заставить активировать этот функционал, что фактически дает злоумышленникам возможность закрепиться в системе.
В новых патчах когда пользователь открывает вложение или загружает из Интернета недоверенный файл Office, содержащий макросы, приложение отображает баннер с оповещением об угрозе безопасности, гласящий: «Microsoft заблокировала запуск макросов, поскольку источник файла недоверен».
«Если загруженный из Интернета файл требует разрешить макросы, а вы не уверены в том, что эти макросы делают, вам, вероятно, следует просто удалить этот файл» - предупреждает Microsoft, указывая на риск безопасности, связанный с использованием макросов злоумышленниками.
При этом пользователи могут разблокировать макросы для любого загруженного файла, щелкнув правой кнопкой мыши на файл, выбрав в контекстном меню пункт «Свойства» и установив флажок «Разблокировать» на вкладке «Общие». Ожидается, что обновления будут применены к пользователям Microsoft 365 в апреле 2022 года, а в будущем планируется распространить эту функцию на Office LTSC, Office 2021, Office 2019, Office 2016 и Office 2013.
Этот шаг произошел менее чем через месяц после того, как производитель Windows отключил макросы Excel 4.0 (XLM) по умолчанию - еще одну широко используемую для распространения вредоносного ПО функцию - для защиты клиентов от угроз безопасности.
Источник: https://thehackernews.com
