Microsoft introduce il blocco delle macro in Office per contrastare il malware

L’elevato livello di attività dei malintenzionati che fanno uso delle macro di Microsoft Office per diffondere temibili software nocivi, ha dimostrato in maniera inequivocabile come tale vettore di infezione risulti particolarmente efficace, anche al momento attuale. Gli sviluppatori di Microsoft sperano che la nuova opzione presente in Office contribuisca ad arginare questo genere di attacchi: nella versione 2016, in effetti, è stata introdotta la possibilità di bloccare le macroistruzioni, opportunità che di sicuro apprezzeranno gli amministratori dei network aziendali.

Sebbene le macro di Office siano disattivate di default nella maggior parte delle reti, l’ingegneria sociale può comunque permettere ai malfattori di convincere la vittima ad aprire il documento “trappola” e, di conseguenza, ad attivare manualmente la macro malevola.

Secondo il blog post pubblicato di recente da Microsoft, la possibilità di effettuare il blocco delle macro è stata implementata in Word, Excel e PowerPoint; la stessa può essere applicata tramite le Policy di Gruppo o su scala individuale. Tale opzione permette all’amministratore di valutare il grado di utilizzo delle macro, allo scopo di creare dei workflow sicuri ed attendibili, e bloccare quindi l’accesso al contenuto macro nei casi in cui il rischio appare elevato. Quando si tenta di attivare la macro nel documento Office, l’utente visualizza una perentoria notifica, messa in risalto da uno sfondo rosa, contornato di rosso, attraverso la quale si avverte che la funzione è stata disabilitata per motivi di sicurezza.

“Questo meccanismo si basa sulle informazioni inerenti alle aree di sicurezza, che Windows utilizza per determinare il livello di attendibilità associato ad una location specifica – scrivono gli sviluppatori nel blog. – Così, ad esempio, se Windows considera la zona Internet come l’effettiva fonte del file, le macro presenti nel documento verranno disattivate.

Microsoft è convinta del fatto che l’innovazione introdotta sia in grado di proteggere le organizzazioni nei confronti degli allegati maligni contenuti nei messaggi e-mail provenienti da fonti esterne, così come riguardo ai documenti “trappola” di cui si propone il download da storage quali Dropbox e Google Drive, oppure da cartelle condivise pubblicamente.

Lo sviluppatore aveva lanciato per la prima volta l’allarme, riguardo agli attacchi informatici in cui viene fatto uso di macro dannose, all’inizio
dello scorso anno
, sottolineando come a partire dalla metà del mese di dicembre 2014 il numero dei rilevamenti VBA fosse sensibilmente aumentato, raggiungendo persino quota 8.000 casi nell’arco di una sola giornata. Da allora, sino ad oggi, questa tecnica è stata attivamente utilizzata, dai cybercriminali, per distribuire malware di vario tipo: il banker Dridex, il trojan multifunzionale BlackEnergy, bot quali, ad esempio, Kasidet, oppure il ransomware crittografico Locky.

Secondo le statistiche di Microsoft, al momento attuale il 98% delle minacce Internet che prendono di mira gli utenti corporate, e sono dirette alla suite Office, ricorre all’utilizzo delle macro.

image001

Le dinamiche relative ai rilevamenti VBA effettuati nel corso degli ultimi tre mesi, secondo i dati forniti dal servizio Office 365 Advanced Threat Protection (fonte: Microsoft).

Visto il sensibile aumento del numero di infezioni, gli sviluppatori invitano gli amministratori di rete ad utilizzare senza alcun indugio – qualora non lo avessero ancora fatto – la funzione relativa al blocco delle macro, e a disattivare, al tempo stesso, tutti i workflow che comportano l’impiego delle stesse.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *