As macros VBA (Visual Basic for Applications) nos documentos do Microsoft Office são há muito utilizadas pelos autores de ameaças para aceder a um sistema alvo e instalar malware e ransomware. Se for permitida a execução automática, as macros podem ser utilizadas para executar código malicioso quando um documento do MS é aberto. Mesmo quando o Microsoft Office desactivava a execução de macros e apresentava uma barra de notificação que avisava os utilizadores dos riscos de segurança da execução dessas macros, os malfeitores tinham vários cenários convincentes para enganar os utilizadores e levá-los a clicar no botão "Ativar Macro". Para ajudar a combater o malware baseado em macros, a Microsoft bloqueia as macros do Office obtidas da Internet em cinco aplicações do Office por predefinição a partir de 27 de julho de 2022. Como resultado, os utilizadores do Access, Excel, PowerPoint, Visio e Word não podem ativar scripts de macro em ficheiros não confiáveis descarregados da Internet.
Esta restrição foi anunciada como um fator de mudança para o sector da cibersegurança. No entanto, será que proporciona realmente segurança aos utilizadores de MS? A resposta é não. Os cibercriminosos são peritos em encontrar formas novas e inovadoras de piratear e infiltrar-se nos seus sistemas.
Vetor de ataque VSTO
Um novo vetor de ataque emergente utilizado pelos cibercriminosos como alternativa ao VBA é o Visual Studio Tools for Office (VSTO), que pode exportar um Add-In incorporado num documento Office. Um ficheiro VSTO Office permite que os atacantes façam phishing aos utilizadores e executem remotamente código malicioso através da instalação do Add-In.
Os documentos VSTO Office estão ligados a uma aplicação Visual Studio Office File, que é escrita com .NET. É capaz de conter código arbitrário que pode ser utilizado para fins maliciosos, tal como o VBA. Os documentos VSTO Office podem incluir referências e metadados para descarregar um ficheiro VSTO (uma aplicação .NET) da Internet quando os utilizadores abrem o ficheiro.
Abaixo está a nossa demonstração gravada que mostra como um ficheiro VSTO Word descarrega e executa uma aplicação nociva na máquina da vítima.
Deep CDR A tecnologia Content Disarm and Restructure (Desarmar e Reestruturar Conteúdos) pode neutralizar este tipo de ataque cibernético
Com a mentalidade de que todos os ficheiros representam uma ameaça potencial, o Deep CDR detecta e neutraliza todos os componentes executáveis suspeitos incorporados nos ficheiros para garantir que todos os ficheiros que entram na sua organização não são prejudiciais. Esta é a abordagem mais eficaz para evitar malware evasivo avançado e ataques de dia zero.
Veja a demonstração abaixo para ver como o ficheiro VSTO Word malicioso foi desativado OPSWAT MetaDefender usando Deep CDR.
Saiba mais sobre a tecnologiaDeep CDR . Para ver como podemos ajudar a fornecer uma proteção abrangente à sua organização contra documentos transformados em armas, fale agora com um especialista em OPSWAT .
Referência
Macros da Internet são bloqueadas por padrão no Office - Deploy Office
