Macros VBA (Visual Basic for Applications) din documentele Microsoft Office sunt de mult timp folosite în mod abuziv de autorii de amenințări pentru a intra pe un sistem țintă și a implementa programe malware și ransomware. Dacă li se permite să ruleze automat, macrourile pot fi folosite pentru a executa coduri malițioase odată ce un document MS este deschis. Chiar și atunci când Microsoft Office a dezactivat funcționarea macro-urilor și a afișat o bară de notificare care avertiza utilizatorii cu privire la riscurile de securitate legate de rularea acestor macro-uri, actorii rău intenționați au avut la dispoziție diverse scenarii convingătoare pentru a-i păcăli pe utilizatori să facă clic pe butonul "Enable Macro". Pentru a contribui la contracararea programelor malware bazate pe macro-uri, Microsoft blochează în mod implicit macro-urile Office obținute de pe internet în cinci aplicații Office începând cu 27 iulie 2022. Prin urmare, utilizatorii Access, Excel, PowerPoint, Visio și Word nu pot activa scripturi macro în interiorul fișierelor nesigure descărcate de pe internet.
Această restricție a fost anunțată ca fiind o schimbare pentru industria securității cibernetice. Cu toate acestea, oferă ea cu adevărat siguranță utilizatorilor MS? Răspunsul este nu. Infractorii cibernetici sunt experți în găsirea unor modalități noi și inovatoare de a vă sparge și de a se infiltra în sisteme.
Vectorul de atac VSTO
Un nou vector de atac emergent utilizat de infractorii cibernetici ca alternativă la VBA este Visual Studio Tools for Office (VSTO), care poate exporta un Add-In încorporat într-un document Office. Un fișier VSTO Office le permite atacatorilor să înșele utilizatorii și să execute de la distanță un cod malițios prin instalarea Add-In-ului.
Documentele VSTO Office sunt conectate la o aplicație Visual Studio Office File, care este scrisă cu .NET. Aceasta este capabilă să conțină cod arbitrar care poate fi utilizat în scopuri rău intenționate, la fel ca VBA. Documentele VSTO Office pot include referințe și metadate pentru a descărca un fișier VSTO (o aplicație .NET) de pe internet odată ce utilizatorii deschid fișierul.
Mai jos este înregistrarea noastră demonstrativă care arată cum un fișier VSTO Word descarcă și execută o aplicație dăunătoare pe calculatorul victimei.
Deep CDR (Content Disarm and Restructure) poate dezamorsa acest tip de atac cibernetic
Având în vedere că fiecare fișier prezintă o amenințare potențială, Deep CDR detectează și neutralizează toate componentele executabile suspecte încorporate în fișiere pentru a se asigura că toate fișierele care intră în organizația dvs. nu sunt dăunătoare. Aceasta este cea mai eficientă abordare pentru a preveni malware-ul evaziv avansat și atacurile de tip zero-day.
Urmăriți demonstrația de mai jos pentru a vedea cum a fost dezactivat fișierul malițios VSTO Word prin OPSWAT MetaDefender folosind Deep CDR.
Aflați mai multe despre tehnologiaDeep CDR . Pentru a vedea cum vă putem ajuta să oferiți organizației dvs. protecție completă împotriva documentelor transformate în arme, discutați acum cu un specialist OPSWAT .
Referință
Macros de pe internet sunt blocate în mod implicit în Office - Deploy Office
Faceți ca phishing-ul să fie din nou grozav. Fișierele de birou VSTO sunt noul coșmar macro?
