在安全领域,有时好消息来得出人意料。这就是其中之一。经过三十年的宏病毒,三十年来试图说服每个Excel用户单独禁用宏,微软将为所有人禁用Excel 4.0宏。迟做总比不做好,对吧?

真是松了一口气。

Excel 4.0宏,也就是XLM宏,于1992年首次添加到Excel中。它们允许用户在电子表格单元格中添加命令,然后执行这些命令来执行任务。不幸的是,我们很快了解到(像任何代码一样)宏可能被用来执行恶意任务。从那时起,办公文档就成了恶意代码的藏身之所。

出于向后兼容性的原因,这个特性从未被移除,尽管它在引入一年之后就被Visual Basic For Applications (VBA)所取代。

我理解当时赞成保留它的理由,但为什么要保留它默认启用这么久之后,很少有人使用它?微软本可以让那些需要Excel 4.0宏的用户打开这个功能,而我们其他人(绝大多数Excel用户)不必记住关闭它,就可以更安全。

好消息吗?发生了什么事?

微软在发给客户的电子邮件中宣布了禁用Excel 4.0宏的计划。今年年底,所有微软365用户都将禁用该功能,但具体时间取决于你是哪种用户:

  • inside - slow:在11月初完成。
  • 当前频道:11月中旬完成。
  • 月度企业渠道:12月中旬完成。

相信我,一下子让所有的安全专家都满意是不容易的。大多数人认为这早就应该做了。有些人觉得杯子是半满的,而另一些人则在问:“为什么杯子这么长时间都是半空的?”

你会想念它吗?

你不太可能错过Excel 4.0的宏。XLM是Excel在Excel 4.0中默认的宏语言,但是从5.0版本开始,Excel默认在VBA中记录宏,尽管XLM记录仍然被允许作为一个选项。在5.0版本之后,该选项就停止了。所有版本的Excel都能够运行XLM宏,不过微软不鼓励使用它们。

现在,在Excel 4.0宏被淘汰的近30年之后,可以公平地说,Excel 4.0宏的最大用户可能是恶意的威胁参与者。

虐童案件

攻击者一直喜欢Office宏,因为它们提供了一种简单而可靠的方法,使用合法的功能传播恶意软件,而不依赖任何漏洞或利用。XLM宏已经被用来删除许多知名的恶意软件家族,包括ZLoader, tricbot, BitRat, QBot, Dridex, FormBook和StrRat等。

就在上个月,Malwarebytes Labs已经看到X必威平台APP必威官方登录备用LM宏被用于传递威胁参与者喜欢的内容钴罢工,一个恶意软件利用XLM宏来提供一个。net有效载荷,掩护下是一个Excel电子表格,上面是关于美国空袭塔利班政权的统计数据。

手动禁用

如果您觉得有必要立即禁用此功能,您可以在信任中心.7月,微软增加了一个新的复选框设置,“当VBA宏启用时启用Excel 4.0宏”,这允许用户单独配置XLM宏的行为,而不影响VBA宏。

Microsoft Excel信任中心设置

图片由微软提供

安全性高于向后兼容性

尽管这种安全性增强的推出带来了共同的喜悦,但它提出了一个问题:安全性何时会否决向后兼容性?微软肯定有比修复上个世纪过时的功能更好的事情要做。如果在1993年升级到VBA的步伐不那么陡峭,那么我们就可以忘记4.0,转向最新的版本,而不用担心我们的肩膀。或者微软可能在几十年前就禁用了这个潜在的危险功能,把它留给那些真正想要它重新打开的人?

如果说历史教会了我们什么,那就是让你需要的东西成为可能的动机要比让可能有潜在危险的东西失效的动机要强烈得多。

保持安全,大家好!