Microsoft führt zum Schutz vor Schädlingen Blockierung von Makros in Office ein

Der jüngste Anstieg von Bedrohungen, die Makros in Microsoft Office zur Verbreitung von Schadsoftware nutzen, hat überzeugend gezeigt, dass dieser Vektor bis zum heutigen Tag sehr effektiv ist. Die Entwickler bei Microsoft hoffen, dass die neue Option in Office dazu beiträgt, solche Attacken einzuschränken: In der Version 2016 wurde die Möglichkeit eingeführt, Makrobefehle zu blockieren, was besonders Administratoren von Unternehmensnetzwerken zugutekommen soll.

Obwohl Makros in Office in den meisten Netzwerken standardmäßig blockiert sind, bringen Cyberkriminelle Nutzer mittels Social Engineering dazu, ein Köderdokument zu öffnen und Makros manuell zu aktivieren.

Laut einem Eintrag im Microsoft-Blog wurde die Möglichkeit, Makros zu sperren, für Word, Excel
und Powerpoint eingeführt, sie kann über Gruppen-Policies oder individuell umgesetzt werden. Diese Option ermöglicht es einem Administrator, die Nutzung von Makros auf einige vertrauenswürdige Workflows zu begrenzen und den Zugriff auf Makro-Content in den Fällen zu blockieren, wenn das Risiko zu hoch erscheint. Bei dem Versuch Makros in einem Office-Dokument zu aktivieren, wird dem Anwender eine rot unterlegte Warnmitteilung angezeigt, in der es heißt, dass diese Funktion aus Sicherheitsgründen deaktiviert ist.

„Dieser Mechanismus fußt auf Informationen über Sicherheitszonen, die Windows für die Bestimmung des Vertrauenswürdigkeitsgrades verwendet, der mit bestimmten Standorten in Verbindung gebracht wird“, schreiben die Entwickler in ihrem Blog. „Wenn zum Beispiel der Ort, von dem eine Datei stammt, von Windows als Zone des Internets eingestuft wird, werden Makros in dem Dokument deaktiviert.“

Microsoft ist davon überzeugt, dass diese Neueinführung in der Lage ist, die Organisation vor schädlichen Anhängen in Mails von externen Quellen und vor Dokumenten zu bewahren, die von außerhalb des Unternehmens heruntergeladen wurden, wie etwa aus Cloud-Speichern wie Dropbox und Google Drive oder von öffentlich zugänglichen Ordnern.

Vor Attacken, die schädliche Makros benutzen, warnten die Forscher erstmals Anfang vergangenen Jahres, nachdem sie bemerkt hatten, dass die Zahl der VBA-Detektionen seit Mitte Dezember auf 8.000 pro Tag angestiegen war. Seitdem wird diese Technik bis heute aktiv eingesetzt, um verschiedene Schädlinge auszuliefern: den Banker Dridex, den multifunktionalenTrojaner BlackEnergy, Bots in der Art von Kasidet, den erpresserischen Verschlüsselungsschädling Locky.

Laut Statistik von Microsoft setzen zum aktuellen Zeitpunkt 98% der Internetbedrohungen, die Unternehmensnutzer angreifen und auf Office spezialisiert sind, Makros ein.

image001

Dynamik der VBA-Detektionen nach Angaben des Dienstes Office 365 Advanced Threat Protection innerhalb der letzten drei Monate (Quelle: Microsoft).

Angesichts der zunehmenden Zahl der Infektionen rufen die Entwickler Netzwerkadministratoren dazu auf, unbedingt die Möglichkeit zu nutzen, Makros zu blockieren und alle Workflows zu deaktivieren, die deren Nutzung voraussetzen.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.