Системные администраторы предприятий могут блокировать использование одного из методов заражения: вредоносные макросы в документах Microsoft Office.
Microsoft на этой неделе добавила новую опцию в Office 2016, которая позволяет администраторам блокировать работу макросов (встроенных скриптов для автоматизации работы) в документах Word, Excel и PowerPoint, полученных из Интернета.
Microsoft Office поддерживает макросы, написанные на Visual Basic for Applications (VBA), которые могут быть использованы для установки вредоносных программ. Макро-вирусы были популярны более десяти лет назад, но почти исчезли после того, как Microsoft отключила использование макросов по умолчанию в программах Office.
Данная техника снова используется в течение последних двух лет, так как злоумышленники выяснили, что могут использовать социальную инженерию, чтобы убедить пользователей запустить макросы, встроенные в документы.
Например, хакеры рассылают спам под видом счетов-фактур и других, связанных с бизнесом сообщений с вредоносными документами Word в прикреплении. При открытии данные документы показывают поддельные предупреждения о том, что содержимое не может быть отображено по соображениям безопасности до тех пор, пока пользователь не включит макросы.
Киберпреступники и кибершпионы в настоящее время используют эту технику. Макросы участвуют в 98% атак, связанных с Office.
В Office уже давно не запускаются макросы во всех документах без разрешения пользователя. Тем не менее, это не практично для многих предприятий, потому что макросы могут служить полезной цели.
Вот почему Microsoft придумала другое решение: настройку групповой политики, которую могут использовать администраторы для отключения макросов для файлов Office, полученных из мест, определяемых Windows как часть Интернета. Это включает в себя файлы, загруженные с любого интернет-сайта, в том числе с сайтов провайдеров облачных систем хранения данных, таких как Microsoft OneDrive, Google Drive и Dropbox; Документы, прилагаемые к письмам, полученным с адресов за пределами организации; И документы, загруженные из файлообменных сайтов.
Новый параметр называется «блокировка макросов в файлах Office, загруженных из Интернета» и находится в редакторе управления групповой политикой в разделе Конфигурация пользователя > Административные шаблоны > Microsoft Word 2016 > Параметры Word > Безопасность > Trust Center. Данный параметр может быть настроен для каждого приложения Office.
Когда он включен, пользователь, пытающийся открыть документ с макросами, увидит предупреждение о заблокированном контенте: «Макросы в этом документе, были отключены администратором предприятия по соображениям безопасности». Пользователь не будет иметь возможность вручную обойти данное ограничение.
«Конечным пользователям мы рекомендуем никогда не включать макросы в документах, которые они получают не из доверенного источника, и быть осторожными с макросами, даже если документ получен от людей, которым вы доверяете – на случай, если их взломали», пишут исследователи из Microsoft Malware Protection Center в блоге.
«Если ваше предприятие не имеет каких-либо рабочих процессов, которые предусматривают использование макросов, отключить их полностью».
Microsoft на этой неделе добавила новую опцию в Office 2016, которая позволяет администраторам блокировать работу макросов (встроенных скриптов для автоматизации работы) в документах Word, Excel и PowerPoint, полученных из Интернета.
Microsoft Office поддерживает макросы, написанные на Visual Basic for Applications (VBA), которые могут быть использованы для установки вредоносных программ. Макро-вирусы были популярны более десяти лет назад, но почти исчезли после того, как Microsoft отключила использование макросов по умолчанию в программах Office.
Данная техника снова используется в течение последних двух лет, так как злоумышленники выяснили, что могут использовать социальную инженерию, чтобы убедить пользователей запустить макросы, встроенные в документы.
Например, хакеры рассылают спам под видом счетов-фактур и других, связанных с бизнесом сообщений с вредоносными документами Word в прикреплении. При открытии данные документы показывают поддельные предупреждения о том, что содержимое не может быть отображено по соображениям безопасности до тех пор, пока пользователь не включит макросы.
Киберпреступники и кибершпионы в настоящее время используют эту технику. Макросы участвуют в 98% атак, связанных с Office.
В Office уже давно не запускаются макросы во всех документах без разрешения пользователя. Тем не менее, это не практично для многих предприятий, потому что макросы могут служить полезной цели.
Вот почему Microsoft придумала другое решение: настройку групповой политики, которую могут использовать администраторы для отключения макросов для файлов Office, полученных из мест, определяемых Windows как часть Интернета. Это включает в себя файлы, загруженные с любого интернет-сайта, в том числе с сайтов провайдеров облачных систем хранения данных, таких как Microsoft OneDrive, Google Drive и Dropbox; Документы, прилагаемые к письмам, полученным с адресов за пределами организации; И документы, загруженные из файлообменных сайтов.
Новый параметр называется «блокировка макросов в файлах Office, загруженных из Интернета» и находится в редакторе управления групповой политикой в разделе Конфигурация пользователя > Административные шаблоны > Microsoft Word 2016 > Параметры Word > Безопасность > Trust Center. Данный параметр может быть настроен для каждого приложения Office.
Когда он включен, пользователь, пытающийся открыть документ с макросами, увидит предупреждение о заблокированном контенте: «Макросы в этом документе, были отключены администратором предприятия по соображениям безопасности». Пользователь не будет иметь возможность вручную обойти данное ограничение.
«Конечным пользователям мы рекомендуем никогда не включать макросы в документах, которые они получают не из доверенного источника, и быть осторожными с макросами, даже если документ получен от людей, которым вы доверяете – на случай, если их взломали», пишут исследователи из Microsoft Malware Protection Center в блоге.
«Если ваше предприятие не имеет каких-либо рабочих процессов, которые предусматривают использование макросов, отключить их полностью».
.png)