As macros VBA (Visual Basic for Applications) nos documentos do Microsoft Office são há muito utilizadas pelos autores de ameaças para aceder a um sistema alvo e instalar malware e ransomware. Se for permitida a execução automática, as macros podem ser utilizadas para executar código malicioso quando um documento do MS é aberto. Mesmo quando o Microsoft Office desactivava a execução de macros e apresentava uma barra de notificação que avisava os utilizadores dos riscos de segurança da execução dessas macros, os malfeitores tinham vários cenários convincentes para enganar os utilizadores e levá-los a clicar no botão "Ativar Macro". Para ajudar a combater o malware baseado em macros, a Microsoft bloqueia as macros do Office obtidas da Internet em cinco aplicações do Office por predefinição a partir de 27 de julho de 2022. Como resultado, os utilizadores do Access, Excel, PowerPoint, Visio e Word não podem ativar scripts de macro em ficheiros não confiáveis descarregados da Internet.
Esta restrição foi anunciada como um fator de mudança para o sector da cibersegurança. No entanto, será que proporciona realmente segurança aos utilizadores de MS? A resposta é não. Os cibercriminosos são peritos em encontrar formas novas e inovadoras de piratear e infiltrar-se nos seus sistemas.
Vetor de ataque VSTO
Um novo vetor de ataque emergente utilizado pelos cibercriminosos como alternativa ao VBA é o Visual Studio Tools for Office (VSTO), que pode exportar um Add-In incorporado num documento Office. Um ficheiro VSTO Office permite que os atacantes façam phishing aos utilizadores e executem remotamente código malicioso através da instalação do Add-In.
Os documentos VSTO Office estão ligados a uma aplicação Visual Studio Office File, que é escrita com .NET. É capaz de conter código arbitrário que pode ser utilizado para fins maliciosos, tal como o VBA. Os documentos VSTO Office podem incluir referências e metadados para descarregar um ficheiro VSTO (uma aplicação .NET) da Internet quando os utilizadores abrem o ficheiro.
Abaixo está a nossa demonstração gravada que mostra como um ficheiro VSTO Word descarrega e executa uma aplicação nociva na máquina da vítima.
A tecnologia Deep CDR™ (Content Disarm and Restructure) consegue neutralizar este tipo de ciberataque
Partindo do princípio de que cada ficheiro representa uma potencial ameaça, a tecnologia Deep CDR™ deteta e neutraliza todos os componentes executáveis suspeitos incorporados nos ficheiros, garantindo que todos os ficheiros que entram na sua organização não sejam prejudiciais. Esta é a abordagem mais eficaz para prevenir malware evasivo avançado e ataques de dia zero.
Veja a demonstração abaixo para saber como o ficheiro VSTO malicioso do Word foi desativado pelo OPSWAT MetaDefender utilizando a tecnologia Deep CDR™.
Saiba mais sobre a tecnologia Deep CDR™. Para saber como podemos ajudar a proporcionar uma proteção abrangente à sua organização contra documentos maliciosos, fale já com um OPSWAT .
Referência
Macros da Internet são bloqueadas por padrão no Office - Deploy Office
