Makra gorsze niż exploity! Wszystkie aplikacje Office są już automatycznie chronione

Microsoft zintegrował wszystkie aplikacje Office z antywirusem, aby zapobiegać atakom z wykorzystaniem makr. Firma użyła do tego celu Antimalware Scan Interface (AMSI). Będzie on skanował makra VBA osadzone w dokumentach. Jest to odpowiedź na odrodzenie tego typu ataków, które ostatnimi czasy stały się nawet bardziej aktywne niż exploity.

W poniedziałek pisaliśmy o ataku CHAINSHOT, który wymierzony jest wprawdzie w podatność w Adobe Flash, ale jest przenoszony w dokumentach Excela. Jak wskazują odczyty telemetrii Windows Defender ATP z ostatnich 5 lat, podobnych przypadków bywało więcej, a szczególne nasilenie odnotowano w drugiej połowie 2016 roku. Office atakowany jest ostatnio dużo rzadziej, niemniej jednak złośliwe makra odgrywają w tych atakach ważną rolę - nawet ważniejszą niż "tradycyjne" exploity. By temu przeciwdziałać, Microsoft zintegrował wszystkie aplikacje Office z Antimalware Scan Interface (AMSI), co pozwoli antywirusowi i innym rozwiązaniom chroniącym skanować makra i inne skrypty w poszukiwaniu szkodliwych zachowań.

Oparte na makrach zagrożenia zawsze były powszechnym punktem wejścia dla złośliwego oprogramowania, ale zaobserwowaliśmy ich odrodzenie w ostatnich latach. Nieustanne ulepszanie bezpieczeństwa platformy i aplikacji doprowadziło do zaniku software'owych exploitów, a atakujący znaleźli zdolną do użycia alternatywę wektora infekcji w postaci ataków opartych na inżynierii społecznej, które nadużywają funkcjonalności, takich jak makra VBA.

By odpowiedzieć na rosnące zagrożenie, Microsoft zainwestował w budowę lepszych mechanizmów wykrywania, które ujawniają zachowanie makr poprzez skorelowanie z rozwiązaniami chroniącymi w chmurze. Dotyczy to wszystkich aplikacji w Office 365. Co ważne, ochrona odbywa się za pośrednictwem AMSI, otwartego interfejsu, który jest dostępny dla dowolnego rozwiązania antywirusowego.