A Microsoft Office dokumentumokban található VBA (Visual Basic for Applications) makrókat a fenyegetések szerzői már régóta kihasználják a célrendszerekbe való bejutásra, valamint rosszindulatú és zsarolóprogramok telepítésére. Ha engedélyezik az automatikus futtatást, a makrók kihasználhatók rosszindulatú kódok futtatására, amint egy MS-dokumentumot megnyitnak. Még akkor is, amikor a Microsoft Office letiltotta a makrók futtatását, és egy értesítési sávot jelenített meg, amely figyelmeztette a felhasználókat a makrók futtatásának biztonsági kockázataira, a rossz szereplők különböző meggyőző forgatókönyvekkel tudták rávenni a felhasználókat, hogy rákattintsanak a "Makró engedélyezése" gombra. A makróalapú rosszindulatú programok elleni védekezés érdekében a Microsoft 2022. július 27-től alapértelmezés szerint blokkolja az internetről szerzett Office-makrókat öt Office-alkalmazásban. Ennek eredményeként az Access, az Excel, a PowerPoint, a Visio és a Word felhasználói nem engedélyezhetik az internetről letöltött, nem megbízható fájlokban található makroszkripteket.
Ezt a korlátozást a kiberbiztonsági ágazatban a játék megváltoztatásaként hirdették meg. De vajon valóban biztonságot nyújt-e az MS-felhasználóknak? A válasz nem. A kiberbűnözők ügyesen találnak új és innovatív módszereket a rendszerek feltörésére és behatolására.
VSTO támadási vektor
A kiberbűnözők által a VBA alternatívájaként használt új támadási vektor a Visual Studio Tools for Office (VSTO), amely képes egy Office-dokumentumba ágyazott Add-In exportálására. A VSTO Office fájl lehetővé teszi a támadók számára, hogy a felhasználókat átverjék, és az Add-In telepítésén keresztül távolról rosszindulatú kódot hajtsanak végre.
A VSTO Office dokumentumok egy Visual Studio Office File alkalmazáshoz kapcsolódnak, amely .NET-tel íródott. A VBA-hoz hasonlóan tetszőleges kódot tartalmazhat, amely rosszindulatú célokra használható. A VSTO Office-dokumentumok hivatkozásokat és metaadatokat tartalmazhatnak egy VSTO fájl (egy .NET alkalmazás) letöltéséhez az internetről, amint a felhasználók megnyitják a fájlt.
Az alábbiakban a rögzített demónk mutatja be, hogyan tölt le és hajt végre egy VSTO Word fájl egy káros alkalmazást az áldozat gépén.
A Deep CDR™ (Content Disarm and Restructure) technológia képes hatástalanítani az ilyen típusú kibertámadásokat
A Deep CDR™ technológia abból a kiindulási pontból indul ki, hogy minden fájl potenciális veszélyt jelent, ezért felismeri és hatástalanítja a fájlokba ágyazott összes gyanús futtatható elemet, így biztosítva, hogy a szervezetbe beérkező fájlok ne legyenek károsak. Ez a leghatékonyabb módszer a kifinomult, észlelés elkerülő kártevők és a zero-day támadások megelőzésére.
Nézze meg az alábbi bemutatót, hogy megismerje, hogyan semlegesítette az OPSWAT a rosszindulatú VSTO Word-fájlt OPSWAT MetaDefender a Deep CDR™ technológiával.
Tudjon meg többet a Deep CDR™ technológiáról! Ha szeretné megtudni, hogyan tudunk átfogó védelmet biztosítani szervezetének a rosszindulatú dokumentumok ellen, vegye fel a kapcsolatot az OPSWAT még ma!
Hivatkozás
Az Office alapértelmezés szerint blokkolja az internetről származó makrókat - Deploy Office
Tegye újra naggyá az adathalászatot. VSTO irodai fájlok az új makró rémálom?
