Microsoft заставит свой офисный пакет Office по умолчанию блокировать выполнение макрокоманд на языке VBA. Новые правила вступают в силу в апреле 2022 г. В компании считают, что это поможет снизить число случаев заражения вредоносным ПО через фишинговые сообщения. Именно таким путем в 25% случаев программы-вымогатели попадают на компьютеры своих жертв. Причем злоумышленниками данный вектор атаки используется долгие годы.

Макросы в MS Office будут блокироваться по умолчанию

Приложения из состава пакета Microsoft Office начнут по умолчанию блокировать макросы на языке VBA в документах, загруженных из интернета. Данная мера, по мнению разработчиков, позволит усложнить жизнь киберпреступникам, практикующим фишинговые атаки. Способ заражения компьютера вредоносным программным обеспечением при помощи VBA-скриптов и приемов социальной инженерии успешно применяется злоумышленниками десятилетиями.

Согласно сообщению, опубликованному на официальном сайте Microsoft, поведение приложений Office изменится с выходом обновления 2203, выход предварительной (preview) версии которого намечен на апрель 2022 г. Оно затронет Access, Excel, PowerPoint, Visio и Word в составе как непрерывно обновляющейся версии Office (для подписчиков облачного сервиса Office 365), так и всех ныне поддерживаемых самостоятельных (приобретаемых раз и навсегда) редакций офисного пакета. К последним относятся Office 2021, Office 2019, Office 2016 и Office 2013 для Windows. Пользователей офисного пакета Microsoft для операционных систем macOS, iOS, Abdroid, а также веб-версий приложений изменения не коснутся.

После установки обновления пользователь не сможет единственным нажатием кнопки разрешить запуск встроенного в документ Office макроса, как это работает сейчас, при условии, что файл получен из интернета.

Макрос – это программный алгоритм действий, записанный пользователем. Макросы нередко применяются для автоматизации последовательности рутинных операций. В Microsoft Office, в частности, для написания макросов используется VBA (Visual Basic for Application) – специальная, упрощенная реализация некогда популярного языка программирования Visual Basic.

Панацеей не является

Важно отметить, что запланированное новшество не лишит пользователя возможности запускать макросы внутри документов Office, а только несколько усложнит процедуру. Поэтому опытные злоумышленники

Отключить защиту можно будет найдя скачанный файл на диске и сняв соответствующую галочку в его свойствах. Microsoft сама объясняет в деталях, как это делается, на специальной странице, попасть на которую можно нажав при открытии документа кнопку “Learn more” («Узнать больше»), приходящую на смену кнопке “Enable Content” («Включить содержимое»). Помимо руководства по обходу ограничений, страница содержит справочную информацию о макросах и рисках их использования.

Кроме того, организации, применяющие макросы Office, смогут отключить новую меру безопасности с помощью групповых политик. Администраторы также смогут задать так называемые надежные расположения (Trusted Locations), то есть папки, диски и сетевые ресурсы, содержащие файлы, которые по правилам организации можно открывать без дополнительных предосторожностей.

Еще один не вполне очевидный нюанс заключается в том, что защита от вредоносных документов Office работает только, если те загружены из интернета на накопитель с файловой системой NTFS. Только она хранит метаданные (альтернативные потоки данных, ADS) о происхождении файла, которые «понимают» Windows и Office.

Файловая система FAT32, которая все еще периодически встречается на USB-накопителях небольшой емкости (флешках), в отличие от NTFS не поддерживает ADS и, в частности, поток Zone.Identifier, который при необходимости автоматически генерируется в момент создании файла в файловой системе и содержит сведения о зоне его прибытия. Возможно, именно на эту особенность обратят внимание злоумышленники, когда в будущем озаботятся обходом новых ограничений, введенных Microsoft.

Таким образом, панацеей предложенная Microsoft мера не является. Впрочем, таковой ее не считают и в самой Microsoft. По словам представителя компании Тристана Дэвиса (Tristan Davis), смысл нововведения заключается в том, чтобы злоумышленникам стало труднее заставить пользователей обманом запустить вредоносный код. Разработчики планируют и дальше вносить правки в работу макросов на платформе Office.

Маркус Хатчинс (Marcus Hutchins), исследователь безопасности, в свое время остановивший распространение вымогателя WannaCry, в своем Twitter поприветствовал решение Microsoft, посетовав однако на то, что компания ограничилась минимумом изменений.

Как злоумышленники используют макросы и скрипты

Техника сокрытия вредосного VBA-скрипта в документе Office и принуждения пользователей к его запуску фишинговыми методами широко применяется современными киберпреступниками. Как пишет Bleeping Computer, таким образом, в частности, распространяются небезызвестные Emotet, Trickbot, Qbot и Dridex.

Злоумышленники, как правило, рассылают потенциальным жертвам электронные письма, которые содержат вложенный документ, привлекающее внимание пользователя. Открыв такой документ и разрешив (часто – с подачи кибермошенников) исполнение макроса, пользователь инициирует процесс загрузки и закрепления вредоноса в системе.

По словам Кевина Бомонта (Kevin Beaumont), специалиста в области информационной безопасности с опытом работы в Microsoft, примерно четверть всех случае заражения программами-вымогателями (Ransomware) происходит через макросы.

Большой общественный резонанс и серьезные последствия в начале 2000-х вызвала пандемия компьютерного вируса под названием ILOVEYOU, родиной которого считаются Филиппины.

Этот простой червь был написан на языке программирования VBS (Visual Basic Scripting), который по синтаксису напоминает VBA. Он распространялся в виде письма с заголовком “I LOVE YOU” («Я люблю тебя») и вложением “A Love Letter For You” («Любовное письмо для тебя») с расширением vbs.

Поскольку расширения файлов известных типов, к каковым относились и скрипты VBS, Windows в конфигурации по умолчанию не отображала, пользователи принимали вредоносный скрипт за простой текстовый файл, который по определению не может нести какой-либо угрозы. Однако на деле после открытия файла вирус активизировался и начинал рассылать копии самого себя по всей адресной книге пользователя, а также портить пользовательские и системные файлы, тем самым выводя Windows из строя.