微软表示,它将默认禁用五款Office应用中的宏。除了Excel 4.0宏上个月默认禁用的VBA宏,现在从互联网获得的VBA宏也将默认被禁用。

这一变化将在2203版开始推出,从2022年4月初的Current Channel(预览)开始。据微软称,这一重大的安全改进将在晚些时候推广到其他Office更新渠道。在此更改推出后,Office用户将不再能够在自动阻止宏后通过单击按钮启用宏。

VBA宏

VBA是Visual Basic Application的缩写。VBA可用于访问Windows API (Application Programming Interface)。因此,宏是微软作为自动化功能提供的活动内容选项的一部分,允许用户在后台运行任务。不幸的是,恶意软件作者利用这些功能大规模下载和运行恶意软件。

攻击者一直喜欢宏,因为它们提供了一种简单可靠的方法来使用合法的功能来传播恶意软件,而不依赖于任何漏洞或利用。Emotet特别是会发送含有恶意Word文档的电子邮件,这些文档要么附在电子邮件本身,要么可以通过点击电子邮件中的链接下载。当用户打开其中一个文档时,系统会提示他们启用宏,这样隐藏在Word文件中的恶意代码就可以运行并在计算机上安装Emotet恶意软件。

阻塞

有了这个变化,在Access、Excel、PowerPoint、Visio和Word中,任何从互联网下载的文件都会默认阻止不受信任的宏。用户也将不再能够通过点击按钮来启用内容。

相反,将出现一个安全警报:

警告信息栏
安全风险微软已经阻止宏运行,因为此文件的源是不可信的。了解更多

了解更多按钮转到文章,其中包含有关不良行为者使用宏的安全风险的信息,防止网络钓鱼和恶意软件的安全做法,以及如何通过保存文件和删除网络标记(MOTW)来启用这些宏的说明。

网络的标志

MOTW是Windows在文件来自不受信任的位置(如互联网或禁区)时添加到文件中的一个属性。由于新的警告和封锁依赖于这个MOTW,所以对它有更多的了解是很重要的。

在Windows中,当从不受信任的位置(如Internet)下载文件时,它们会被标记为隐藏的NTFS备用数据流(ADS)命名区。标识符.因此,添加这些属性的能力取决于NTFS文件系统.NTFS是Windows喜欢默认使用的现代文件系统。自Windows XP以来,当您安装Windows时,它默认使用NTFS文件系统格式化驱动器。但是,如果您运行的是FAT32系统,则不能将MOTW属性添加到文件中。

恶意软件可以使用两种主要策略来规避MOTW属性。我们在野外看到的所有技术都可以分为以下两种策略:

  • 滥用未设置MOTW的软件:以不设置或传播区域标识符信息的软件处理的文件格式交付有效载荷。这是因为一些克隆和归档软件不会将MOTW传播到克隆或提取的文件。
  • 滥用容器格式:以不支持NTFS的备用数据流特性的容器格式交付有效负载。例如,以ISO格式交付有效负载,这是一种在野外使用的技术。

在第一种情况下,攻击者将需要一些关于目标受害者如何处理某些文件格式的内部知识,因为并不是所有的归档和克隆软件都会删除MOTW属性。

拆卸MOTW

在每个文件的基础上,用户可以删除文件属性中的MOTW属性。

解除阻塞,移除MOTW
o附“解除”来自一个不可信来源的文件(图片由Bleeping Computer提供)

选择疏通文件可以在文件属性中找到一般选项卡,在安全.,用户可以在疏通选择。

注意:组织已经能够使用阻止宏在来自Internet的Office文件中运行策略,以防止用户无意中从Internet上打开包含宏的文件。微软建议启用此策略,如果您已经启用了此设置,则您的组织将不会受到此更改的影响。此选项自Microsoft Office 2013及所有后续版本以来一直可用。

大家注意安全!