Microsoft opět povoluje spouštění maker v dokumentech

Pět měsíců po oznámení, Microsoft dočasně zruší plán blokování maker Office VBA ve výchozím nastavení.

13. 7. 2022

Společnost Microsoft již v únoru oznámila, že od začátku dubna bude zcela blokovat internetová makra ve výchozím nastavení v Office, což účinně zabraňuje šíření malwaru. Změna se týkala pouze Office na zařízeních se systémem Windows a pouze aplikací: Access, Excel, PowerPoint, Visio a Word.

Útočníci s oblibou používají pro šíření škodlivého kódu dokumenty s makry ve VBA (Visual Basic for Applications), což je důvod proč bezpečnostní komunita s nadšením tuto změnu uvítala. Běžnou distribuční metodou používanou některými z nejznámějších malwarů, včetně Emotet, Dridex, Qbot a RedLine stealer, je zasílání phishingových e-mailů obsahujících škodlivé dokumenty Word nebo Excel s makry, která instalují malware na cílová zařízení.

Microsoft však 8. 7. 2022 vydal rozhodnutí, že provedenou změnu dočasně ruší a makra v dokumentech stažených z internetu tak budou uživatelé nástrojů Office schopní opět dle vlastního uvážení povolovat.

Rozhodnutí je pouze dočasné a bylo provedeno na základě zpětné vazby:
 "Na základě zpětné vazby vracíme tuto změnu z aktuálního kanálu zpět. Vážíme si zpětné vazby, kterou jsme dosud obdrželi, a pracujeme na vylepšení tohoto prostředí," oznámil Redmond administrátorům v centru zpráv Microsoft 365, ovšem neučinil tak také veřejně pro zákazníky, které vrácení této změny znepokojilo.

Uživatelé Windows a Microsoft Office jsou tak opět vystaveni útokům spuštěným prostřednictvím dokumentů Office s integrovanými škodlivými makry. Zákazníci také hlásili, že nemohou makra znovu aktivovat, poté co byla automaticky zablokována a nemohou najít tlačítko Odblokovat k odstranění Mark-of-the-Web ze stažených souborů.

Uživatelé Office, kteří stále chtějí mít ve svých systémech povoleno automatické blokování maker ve stažených souborech Microsoft Office, si mohou přečíst jednoduchý návod zde.

Přestože Microsoft plánuje blokování maker do produktů Office v budoucnu opět vrátit, dokumenty s makry představují velmi významný a často užívaný vektor útoků. Organizace, v nichž není běžnou součástí práce zaměstnanců spouštění maker v souborech z externích zdrojů, by měly svépomocí implementovat již nyní ekvivalentní bezpečnostní omezení s pomocí relevantních doménových politik.

Zdroje

https://www.root.cz/clanky/postrehy-z-bezpecnosti-zmrtvychvstani-maker-v-dokumentech-office/

https://www.bleepingcomputer.com/news/microsoft/microsoft-says-decision-to-unblock-office-macros-is-temporary/

https://thehackernews.com/2022/07/microsoft-quietly-rolls-back-plan-to.html

https://www.bleepingcomputer.com/news/microsoft/microsoft-plans-to-kill-malware-delivery-via-office-macros/

 

zpět

VISITECH a.s. je stabilní partner a odborník v oblasti kybernetické bezpečnosti a IT infrastruktury, informačních systémů a sítí firem a organizací. Jsme přední společností v oblasti skutečné kybernetické bezpečnosti.

KONTAKT

Košinova 655/59
612 00 Brno

info@visitech.cz
+420 538 700 880

IČ: 255 43 415
DIČ: CZ 255 43 415

vedený u Krajského soudu v Brně oddíl B,
vložka 6323

POBOČKY

Praha 4, Michle
Ohradní 1394/61
+420 274 776 890

KANCELÁŘ

Ostrava - Vítkovice
Ruská 83/24
+420 597 317 377

VISITECH a.s. 2021 © Všechna práva vyhrazena

Vectors by Vecteezy & Freepik.