Przejdź na

Koniec z malware w makrach. Office dostanie antywirusa

W długiej historii dokumentów pakietu Office wielokrotnie zdarzały się ataki wykorzystujące makra, w których krył się malware. Ich koniec jest bliski. Microsoft dołączył do swoich programów biurowych Antimalware Scan Interface (AMSI, który będzie badał makra VBA, zamieszczone w dokumentach.

Obraz
Anna Rymsza

Posunięcie Microsoftu jest reakcją na takie ataki, jak opisany na początku miesiąca CHAINSHOT (CVE-2018-5002). Wykorzystywał on arkusz przygotowany w Excelu, zawierający obiekt Shockwave Flash ActiveX. W skrócie pobierał on film Flash z zaszytym szkodliwym kodem. Ataki takie przeżywają renesans i pozwalają relatywnie łatwo uzyskać dostęp do komputera ofiary.

Interfejs AMSI jest już obecny w różnych programach (od 2015 roku w PowerShellu) i pozwala zabezpieczyć komputer przed szkodliwymi skryptami w JavaScripcie, VBScripcie i PowerShellu. Zabezpieczenie reaguje, gdy skrypt wywołuje funkcję lub metodę podwyższonego ryzyka. Może to być CreateProcess, ShellExecute i tym podobne. W razie wykrycia takiego działania Office zatrzyma wykonywanie makra i przeskanuje wcześniejsze zachowanie skryptu oraz logi. Użytkownik zaś zobaczy następujący komunikat:

Obraz

Microsoft od razu poinformował, że rozwiazanie to nie będzie idealne, ale jest lepsze niż całkowity brak zabezpieczeń po stronie makr. Integracja AMSI z pakietem Office będzie też korzystne dla Windows Defendera ATP, które mogą uzyskać informacje o nowych zagrożeniach dzięki wymianie danych z interfejsem. Co ważne, zagrożenia będą rozpoznawane niezależnie od użytych w dokumentach i makrach języków naturalnych, zawartości i treści. W konsekwencji Windows Defender będzie w stanie rozpoznać na przykład szkodliwe dokumenty jeszcze zanim trafią do skrzynki pocztowej w Outlooku.

Obraz

Integracja z AMSI jest już wprowadzana i będzie domyślnie włączona we wszystkich programach z pakietu Office 365, które obsługują makra. Skanowane będą wszystkie makra, chyba że dostaną podpisane zaufanym kluczem kryptograficznym albo będą uruchamiane z zaufanego miejsca.

Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
ChatGPT ma dużą awarię. Użytkownicy zgłaszają liczne problemy
ChatGPT ma dużą awarię. Użytkownicy zgłaszają liczne problemy
CERT Polska ostrzega przed fałszywymi powiadomieniami KSeF
CERT Polska ostrzega przed fałszywymi powiadomieniami KSeF
Problem z Blikiem i kartami Visa. Od rana usterka płatności (aktualizacja)
Problem z Blikiem i kartami Visa. Od rana usterka płatności (aktualizacja)
Awaryjne aktualizacje dla Windows Server. Rozwiązują usterki
Awaryjne aktualizacje dla Windows Server. Rozwiązują usterki
Zastrzegasz PESEL? Są dwa wyjątki
Zastrzegasz PESEL? Są dwa wyjątki
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Fałszywy SMS. Oszuści podszywają się pod ZUS
Fałszywy SMS. Oszuści podszywają się pod ZUS
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
Nowości w mObywatelu. Dodano trzy funkcje
Nowości w mObywatelu. Dodano trzy funkcje
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
ZATRZYMAJ SIĘ NA CHWILĘ… TE ARTYKUŁY WARTO PRZECZYTAĆ 👀