Microsoft beseitigt die Makroblockierung in Office

Das Gegenteil von gut sind gute Absichten. SchreibtischMakros sollen den Benutzern die Büroarbeit erleichtern, wurden aber schon bald von Hackern ausgenutzt. Im April Microsoft Makros wurden also standardmäßig blockiert, aber jetzt werden sie in einer völlig dummen und unverständlichen Entscheidung entblockt.

Microsoft ist seit April standardmäßig gesperrt VBA – MakrosKommt aus dem Internet in Office-Apps auf Windows-Geräten. Zu den betroffenen Anwendungen gehören Excel, PowerPoint, Visio und Word.

Microsoft hat damit begonnen, Makros im bestehenden Kanal (Vorschauversion) von Office unter Windows zu blockieren, mit dem Ziel, ihn auf andere Office-Vertriebskanäle auszudehnen, einschließlich der monatlichen Enterprise-Kanäle, halbjährlichen Enterprise-Kanäle und der langfristigen Dienstkanalversion von Office . Die Funktion wurde auf den aktuellen Kanal erweitert.

Microsoft teilte den Beamten am Donnerstag mit, dass die Änderung rückgängig gemacht wurde, ohne eine andere Erklärung für die Entscheidung, als dass sie auf Feedback basierte. „Basierend auf dem Feedback bringen wir diese Änderung zurück in den aktuellen Kanal“, sagte Microsoft den Administratoren am Donnerstag im Microsoft 365 Message Center.

Microsoft scheint jedoch anzudeuten, dass das Rollback nur vorübergehend ist, und teilt Microsoft 365-Administratoren mit: „Wir arbeiten daran, diese Erfahrung zu verbessern. Wir werden ein weiteres Update bereitstellen, wenn wir bereit sind, es erneut auf dem aktuellen Kanal zu veröffentlichen.“

Der Schritt kam für die Beamten überraschend. „Basierend auf dem erhaltenen Feedback hat ein Rollback begonnen“, schrieb Angela Robertson, GPM Director of Identity and Security bei Office 365. “Das Update zum Rollback ist in Vorbereitung. Ich entschuldige mich für alle Unannehmlichkeiten, die dadurch entstanden sind, dass ich zum Anfang zurückgegangen bin, bevor das Update über die Änderung verfügbar gemacht wurde.”

Sicherheitsexperten flippten aus

Ian McShane, Vice President of Strategy bei Arctic Wolf, kommentiert die Maßnahmen von Microsoft und was dies für die Cybersicherheit bedeutet. “Es ist bedauerlich und frustrierend, dass Microsoft seine Initiative zur standardmäßigen Deaktivierung von Office-Makros zurückgezogen hat. Die standardmäßige Deaktivierung von Office-Makros könnte ein großer Schritt nach vorne sein, um einen der häufigsten Angriffsvektoren abzusichern.

Malware wie Quakbot und Emotet wird über diese Art von bösartigen Dokumenten verbreitet und richtet in Unternehmen auf der ganzen Welt verheerende Schäden an. Unabhängig davon, ob diese Aktion aufgrund technischer Bedenken oder Kundenfeedback rückgängig gemacht wird, bedeutet dies, dass Office-Benutzer heute weniger sicher sind als letzte Woche. Daher müssen Sicherheitsteams in höchster Alarmbereitschaft sein und Benutzer an die Gefahren aktiver Inhalte in Office-Dokumenten erinnern. Ich war überrascht zu hören, dass es Pläne gibt, dieses Problem mit standardmäßig deaktivierten Makros anzugehen, aber ich war noch überraschter, dass diese Pläne zurückgezogen wurden.

Im Allgemeinen ist der Kompromiss zwischen Benutzerfreundlichkeit und Sicherheit ein großes Problem, das es zu lösen gilt. Deaktivierte Makros erfordern jedoch weniger Aufwand für Benutzer im Vergleich zum Schaden eines erfolgreichen Emotet-Angriffs. Dieser Angriffsweg ist seit Jahrzehnten ein bekanntes Problem – leider wurden die Risiken von Makros immer an Endbenutzer weitergegeben, anstatt an der Quelle angegangen zu werden. Ich erwarte eine Zunahme von makrobasierten Cyberangriffen, nachdem dieser Angriffsweg wieder einfacher wird. “

Der britische Cybersicherheitsexperte Kevin Beaumont hat Makroverbote als „potenziellen Spielveränderer für die Cybersicherheitsbranche und vor allem für Kunden“ bezeichnet, da Makros für etwa ein Viertel aller Erstzugriffsvorfälle bei Ransomware-Bereitstellungen verantwortlich sind. Beaumont war schockiert, dass Microsoft die Funktion wiederhergestellt hat, ohne die Kunden zu benachrichtigen. „Die dramatischste Änderung, die Microsoft hätte vornehmen können, um das reale Cybersicherheitsproblem grundlegend zu verbessern, wurde ohne Meldung rückgängig gemacht“, schrieb er. Twitter.

„Das ist eine schreckliche Idee“, schrieb Eva Galperin, Direktorin für Cybersicherheit bei der Electronic Frontier Foundation. „Ich habe die Anzahl der Kampagnen verpasst, die ich gesehen habe, die auf die Zivilgesellschaft abzielten und Office-Makros zur Installation von Malware verwendeten.“

Die meisten Menschen verwenden keine Makros, aber einige Geschäftsbereiche und Organisationen verlassen sich stark auf VBA-Makroskripts (Visual Basic for Applications) oder „aktive Inhalte“, um sich wiederholende Aufgaben in Tabellenkalkulationen und Dokumenten zu automatisieren. Im Vorfeld der Einführung warnte Microsoft insbesondere Finanzabteilungen und unabhängige Softwareanbieter davor, die Verwendung von Makros zu ändern.

Seit Jahren ist das Ausführen von Makros in Office standardmäßig deaktiviert. Wenn Benutzer eine E-Mail mit einer Office-Anlage erhalten, die ein eingebettetes Makro enthält, zeigt Office eine Benachrichtigungsleiste an, die Benutzer vor den Sicherheitsrisiken beim Ausführen dieser Makros warnt.

Benutzer können die Makros jedoch aktivieren, indem sie auf die Schaltfläche klicken, was Angreifer auf verschiedene Weise versuchen. Wenn ein Benutzer beispielsweise ein bösartiges Excel-Dokument herunterlädt, das ein Makro enthält, behauptet der Text im Dokument, dass die Datei von Microsoft „geschützt“ ist und dass der Benutzer Makros aktivieren muss, um den Inhalt anzuzeigen.

Microsoft hat im Dezember detailliert beschrieben, wie fortgeschrittene Cyberkriminelle wie Qakbot diese Art von Tricks verwenden, um alte VBA- und Excel 4.0-Makros auszuführen und von dort aus Ransomware oder Malware zum Diebstahl von Informationen einzuführen.

Daher die standardmäßige Blockierung aller Office-Makros aus dem Internet, was ein großes Hindernis für die Verbreitung von Malware über bösartige E-Mail-Anhänge sein sollte. Dies war ein Fortschritt gegenüber einer „taktischen“ Änderung, die Microsoft in Office 2016 eingeführt hatte und die es Administratoren ermöglichte, „die Verwendung von Makros für eine Reihe vertrauenswürdiger Workflows selektiv einzuschränken“ und „einen einfachen Zugriff auf in Szenarien aktivierte Makros zu ermöglichen“. Damals sagte Microsoft, dass 98 % der Bedrohungen, die auf Office abzielen, Makros verwenden.

Die standardmäßige Makrosperre von VBA zeigte eine rote Warnung und eine anklickbare Schaltfläche „Weitere Informationen“, wenn Benutzer einen Anhang öffnen oder eine nicht vertrauenswürdige Datei aus dem Internet herunterladen, die Makros enthält.

Die Schaltfläche „Mehr erfahren“ führt zu einer Seite von Microsoft, auf der erklärt WIRD, wie Makros von Leuten mit schlechten Absichten used Werden, und am Ende der Seite wird hinter Makros von Leuten mit schlechten Absichten used Werden, und am Ende der Seite WIRD hinter Makros von Leuten mit schlechtem Können.

Wenn das automatische Blockieren aktiviert ist, fügt Windows Office-Dateien, die aus dem Internet stammen, das Attribut Mark of the Web (MOTW) hinzu. Administratoren können MOTW manuell entfernen. Wie das geht, beschreibt Microsoft in seinem Dokument zu diesem Feature.

Ein Kommentator im Microsoft-Blog kritisierte das Unternehmen für seine mangelnde Kommunikation über das Rollback, aber auch für die Art und Weise, wie es die automatische Sperre überhaupt gemeldet hat. Sie weisen auch darauf hin, dass die derzeitige Implementierung von Sperrmakros mit MOTW für kleine und mittlere Unternehmen (KMU) zu komplex ist.

Leave a Comment

%d bloggers like this: