A Microsoft Office dokumentumokban található VBA (Visual Basic for Applications) makrókat a fenyegetések szerzői már régóta kihasználják a célrendszerekbe való bejutásra, valamint rosszindulatú és zsarolóprogramok telepítésére. Ha engedélyezik az automatikus futtatást, a makrók kihasználhatók rosszindulatú kódok futtatására, amint egy MS-dokumentumot megnyitnak. Még akkor is, amikor a Microsoft Office letiltotta a makrók futtatását, és egy értesítési sávot jelenített meg, amely figyelmeztette a felhasználókat a makrók futtatásának biztonsági kockázataira, a rossz szereplők különböző meggyőző forgatókönyvekkel tudták rávenni a felhasználókat, hogy rákattintsanak a "Makró engedélyezése" gombra. A makróalapú rosszindulatú programok elleni védekezés érdekében a Microsoft 2022. július 27-től alapértelmezés szerint blokkolja az internetről szerzett Office-makrókat öt Office-alkalmazásban. Ennek eredményeként az Access, az Excel, a PowerPoint, a Visio és a Word felhasználói nem engedélyezhetik az internetről letöltött, nem megbízható fájlokban található makroszkripteket.
Ezt a korlátozást a kiberbiztonsági ágazatban a játék megváltoztatásaként hirdették meg. De vajon valóban biztonságot nyújt-e az MS-felhasználóknak? A válasz nem. A kiberbűnözők ügyesen találnak új és innovatív módszereket a rendszerek feltörésére és behatolására.
VSTO támadási vektor
A kiberbűnözők által a VBA alternatívájaként használt új támadási vektor a Visual Studio Tools for Office (VSTO), amely képes egy Office-dokumentumba ágyazott Add-In exportálására. A VSTO Office fájl lehetővé teszi a támadók számára, hogy a felhasználókat átverjék, és az Add-In telepítésén keresztül távolról rosszindulatú kódot hajtsanak végre.
A VSTO Office dokumentumok egy Visual Studio Office File alkalmazáshoz kapcsolódnak, amely .NET-tel íródott. A VBA-hoz hasonlóan tetszőleges kódot tartalmazhat, amely rosszindulatú célokra használható. A VSTO Office-dokumentumok hivatkozásokat és metaadatokat tartalmazhatnak egy VSTO fájl (egy .NET alkalmazás) letöltéséhez az internetről, amint a felhasználók megnyitják a fájlt.
Az alábbiakban a rögzített demónk mutatja be, hogyan tölt le és hajt végre egy VSTO Word fájl egy káros alkalmazást az áldozat gépén.
Deep CDR (Content Disarm and Restructure) technológia képes hatástalanítani az ilyen típusú kibertámadásokat.
A Deep CDR felismeri és semlegesíti a fájlokba ágyazott összes gyanús futtatható komponenst, hogy biztosítsa, hogy a szervezetébe érkező összes fájl nem káros. Ez a leghatékonyabb megközelítés a fejlett kitérő rosszindulatú programok és a nulladik napi támadások megelőzésére.
Nézze meg az alábbi bemutatót, hogy lássa, hogyan hatástalanította a rosszindulatú VSTO Word fájlt a következő eszközökkel OPSWAT MetaDefender a Deep CDR segítségével.
Tudjon meg többet a Deep CDR technológiáról. Ha szeretné megtudni, hogyan segíthetünk átfogó védelmet nyújtani szervezetének a fegyverként használt dokumentumok ellen, beszéljen most az OPSWAT szakértőjével.
Hivatkozás
Az Office alapértelmezés szerint blokkolja az internetről származó makrókat - Deploy Office
Tegye újra naggyá az adathalászatot. VSTO irodai fájlok az új makró rémálom?
