Koniec z malware w makrach. Office dostanie antywirusa

Strona główna Aktualności

O autorze

W długiej historii dokumentów pakietu Office wielokrotnie zdarzały się ataki wykorzystujące makra, w których krył się malware. Ich koniec jest bliski. Microsoft dołączył do swoich programów biurowych Antimalware Scan Interface (AMSI, który będzie badał makra VBA, zamieszczone w dokumentach.

Posunięcie Microsoftu jest reakcją na takie ataki, jak opisany na początku miesiąca CHAINSHOT (CVE-2018-5002). Wykorzystywał on arkusz przygotowany w Excelu, zawierający obiekt Shockwave Flash ActiveX. W skrócie pobierał on film Flash z zaszytym szkodliwym kodem. Ataki takie przeżywają renesans i pozwalają relatywnie łatwo uzyskać dostęp do komputera ofiary.

Interfejs AMSI jest już obecny w różnych programach (od 2015 roku w PowerShellu) i pozwala zabezpieczyć komputer przed szkodliwymi skryptami w JavaScripcie, VBScripcie i PowerShellu. Zabezpieczenie reaguje, gdy skrypt wywołuje funkcję lub metodę podwyższonego ryzyka. Może to być CreateProcess, ShellExecute i tym podobne. W razie wykrycia takiego działania Office zatrzyma wykonywanie makra i przeskanuje wcześniejsze zachowanie skryptu oraz logi. Użytkownik zaś zobaczy następujący komunikat:

Microsoft od razu poinformował, że rozwiazanie to nie będzie idealne, ale jest lepsze niż całkowity brak zabezpieczeń po stronie makr. Integracja AMSI z pakietem Office będzie też korzystne dla Windows Defendera ATP, które mogą uzyskać informacje o nowych zagrożeniach dzięki wymianie danych z interfejsem. Co ważne, zagrożenia będą rozpoznawane niezależnie od użytych w dokumentach i makrach języków naturalnych, zawartości i treści. W konsekwencji Windows Defender będzie w stanie rozpoznać na przykład szkodliwe dokumenty jeszcze zanim trafią do skrzynki pocztowej w Outlooku.

Integracja z AMSI jest już wprowadzana i będzie domyślnie włączona we wszystkich programach z pakietu Office 365, które obsługują makra. Skanowane będą wszystkie makra, chyba że dostaną podpisane zaufanym kluczem kryptograficznym albo będą uruchamiane z zaufanego miejsca.

© dobreprogramy

Komentarze