Ради борьбы с вредоносным ПО Microsoft блокирует макросы в приложениях Office и использование MSIX

10.02.2022
Ради борьбы с вредоносным ПО Microsoft блокирует макросы в приложениях Office и использование MSIX

Компания Microsoft активно борется со злоупотреблениями в своих продуктах и сервисах, которые используются злоумышленниками для распространения малвари. По этой причине в пяти приложениях Office теперь будут отключены макросы VBA, а обработчик протокола MSIX временно прекратит работу в Windows, пишет Хакер.

Макросы

В начале ткущей недели Microsoft объявила, что теперь выполнение макросов VBA в пяти приложениях Office будет блокироваться по умолчанию.

Начиная с апреля 2022 года пользователи Access, Excel, PowerPoint, Visio и Word более не смогут активировать макроскрипты VBA в документах, загруженных из интернета. Документы, содержащие макросы VBA, но созданные и полученные в рамках доверенной сети организации, по-прежнему будут работать как обычно.

Предполагается, что это изменение создаст определенный барьер для некоторых семейств малвари, которые полагаются на обман пользователей, вынуждая их включать и выполнять макросы для установки вредоносного ПО.

Чаще всего в рамках таких атак пользователи получают по почте некий документ, который им предлагается открыть. В этот файл злоумышленники обычно встраивают сообщение, инструктирующее пользователя разрешить выполнение макросов. Проблема в том, что многие  пользователи Office до сих пор не знают об этом методе атак и доверчиво следуют инструкциям хакеров, заражая свои системы разнообразной малварью.

Увы, отключение макроскриптов VBA стало большой проблемой для Microsoft, так как они часто применяются внутри компаний для автоматизации определенных операций и задач, например, импорта данных и обновления содержимого документа из динамических источников. С начала 2000-х годов Microsoft начала показывать предупреждения о возможной опасности включения VBA, однако само это сообщение содержало в себе элементы управления и позволяло пользователям все же выполнить макросы.

«Изменения вступят в силу в версии 2203, начиная с Current Channel (Preview) в начале апреля 2022 года, — пишут разработчики.— Позже эти изменение станут доступны в других каналах обновлений, включая Current Channel, Monthly Enterprise Channel и Semi-Annual Enterprise Channel».

Пока нововведения затронут только клиентов Microsoft 365, но в компании говорят, что в будущем планируют перенести изменения и на другие версии Office, включая Office LTSC, Office 2021, Office 2019, Office 2016 и Office 2013.

MSIX

Также в конце прошлой недели Microsoft сообщила, что временно отключает обработчик протокола MSIX в Windows. Дело в том, что последние три месяца операторы малвари Emotet активно злоупотребляют им для развертывания вредоносного ПО в пользовательских системах.

В настоящее время известно, что Microsoft работает над тем, чтобы сделать эту функцию безопаснее и защитить ее от подобных злоупотреблений, однако не сообщается, когда ее планируют включить снова.

MSIX — это формат упаковки файлов, разработанный специально для Windows 10. Он был основан на концепции файлов манифеста XML, в которых разработчики могут описать, как происходит процесс установки, какие файлы необходимы и где их можно получить. Хотя изначально MSIX был доступен для новейших версий Windows, в итоге его перенесли даже в Windows 7 (посредством MSIX Core), и теперь файлы, упакованные с помощью MSIX, можно использовать во всех версиях Windows.

Проблема заключается в том, что файлы, упакованные с помощью MSIX, могут быть доставлены в систему через интернет, посредством ms-appinstaller, который позволяет разработчикам создавать ссылки формата ms-appinstaller:?source=//website.com/file.appx. В ноябре прошлого года эту особенность начали эксплуатировать операторы ботнета Emotet, злоупотребляя ссылками ms-appinstaller для атак на корпоративных пользователей.

В рамках этой кампании хакеры рассылают целям письма, в которых заманивают пользователей на вредоносные сайты. На таких сайтах якобы содержатся важные документы, которые получатель должен просмотреть, установив специальный PDF-компонент. Ссылка на этот компонент на самом деле представляет собой ссылку формата ms-appinstaller://, и на машину пользователя устанавливается троян BazaarLoader.

Как вскоре выяснили ИБ-эксперты, корень проблемы был в том, что операторы Emotet нашли способ подделывать подписи в файлах, упакованных MSIX. Хотя Microsoft выпустила патч для этой уязвимости (CVE-2021-43890) еще в декабре 2021 года и обеспечила защиту от таких атак при помощи групповой политики, атаки все равно продолжились.

Теперь в компании приняли радикальное решение временно отключить обработчик протока вовсе, то есть теперь ссылки ms-appinstaller попросту не будут работать.

«Если вы используете протокол ms-appinstaller на своем сайте, мы рекомендуем обновить ссылку на ваше приложение, удалив “ms-appinstaller:?source=”, чтобы пакет MSIX или файл App Installer загружались на компьютер пользователя, — пишут разработчики. — Мы понимаем, что эта функция имеет большое значение для многих организаций. Мы рассматриваем возможность введения групповой политики, которая позволит администраторам вновь включить протокол и контролировать его использование в своих организациях».  

erid: 2SDnjcLt8zP erid: 2SDnjcLt8zP

Популярные материалы