✔Ради борьбы с малварью Microsoft блокирует макросы в приложениях Office и использование MSIX - «Новости»
Компания Microsoft активно борется со злоупотреблениями в своих продуктах и сервисах, которые используются злоумышленниками для распространения малвари. По этой причине в пяти приложениях Office теперь будут отключены макросы VBA, а обработчик протокола MSIX временно прекратит работу в Windows.
Макросы
В начале ткущей недели Microsoft объявила, что теперь выполнение макросов VBA в пяти приложениях Office будет блокироваться по умолчанию.
Начиная с апреля 2022 года пользователи Access, Excel, PowerPoint, Visio и Word более не смогут активировать макроскрипты VBA в документах, загруженных из интернета. Документы, содержащие макросы VBA, но созданные и полученные в рамках доверенной сети организации, по-прежнему будут работать как обычно.
Предполагается, что это изменение создаст определенный барьер для некоторых семейств малвари, которые полагаются на обман пользователей, вынуждая их включать и выполнять макросы для установки вредоносного ПО.
Чаще всего в рамках таких атак пользователи получают по почте некий документ, который им предлагается открыть. В этот файл злоумышленники обычно встраивают сообщение, инструктирующее пользователя разрешить выполнение макросов. Проблема в том, что многие пользователи Office до сих пор не знают об этом методе атак и доверчиво следуют инструкциям хакеров, заражая свои системы разнообразной малварью.
Увы, отключение макроскриптов VBA стало большой проблемой для Microsoft, так как они часто применяются внутри компаний для автоматизации определенных операций и задач, например, импорта данных и обновления содержимого документа из динамических источников. С начала 2000-х годов Microsoft начала показывать предупреждения о возможной опасности включения VBA, однако само это сообщение содержало в себе элементы управления и позволяло пользователям все же выполнить макросы.
«Изменения вступят в силу в версии 2203, начиная с Current Channel (Preview) в начале апреля 2022 года, — пишут разработчики.— Позже эти изменение станут доступны в других каналах обновлений, включая Current Channel, Monthly Enterprise Channel и Semi-Annual Enterprise Channel».
Пока нововведения затронут только клиентов Microsoft 365, но в компании говорят, что в будущем планируют перенести изменения и на другие версии Office, включая Office LTSC, Office 2021, Office 2019, Office 2016 и Office 2013.
MSIX
Также в конце прошлой недели Microsoft сообщила, что временно отключает обработчик протокола MSIX в Windows. Дело в том, что последние три месяца операторы малвари Emotet активно злоупотребляют им для развертывания вредоносного ПО в пользовательских системах.
В настоящее время известно, что Microsoft работает над тем, чтобы сделать эту функцию безопаснее и защитить ее от подобных злоупотреблений, однако не сообщается, когда ее планируют включить снова.
MSIX — это формат упаковки файлов, разработанный специально для Windows 10. Он был основан на концепции файлов манифеста XML, в которых разработчики могут описать, как происходит процесс установки, какие файлы необходимы и где их можно получить. Хотя изначально MSIX был доступен для новейших версий Windows, в итоге его перенесли даже в Windows 7 (посредством MSIX Core), и теперь файлы, упакованные с помощью MSIX, можно использовать во всех версиях Windows.
Проблема заключается в том, что файлы, упакованные с помощью MSIX, могут быть доставлены в систему через интернет, посредством ms-appinstaller, который позволяет разработчикам создавать ссылки формата ms-appinstaller:?source=//website.com/file.appx. В ноябре прошлого года эту особенность начали эксплуатировать операторы ботнета Emotet, злоупотребляя ссылками ms-appinstaller для атак на корпоративных пользователей.
В рамках этой кампании хакеры рассылают целям письма, в которых заманивают пользователей на вредоносные сайты. На таких сайтах якобы содержатся важные документы, которые получатель должен просмотреть, установив специальный PDF-компонент. Ссылка на этот компонент на самом деле представляет собой ссылку формата ms-appinstaller://, и на машину пользователя устанавливается троян BazaarLoader.
BREAKING: #Emotet malspam links can since yesterday link to an Universal App installer hosted on @azure imposing as an Adobe Update that drops E4 payload. This is the same initial attack vector as #BazarLoader used a few weeks ago, even using the same @SectigoHQ cert. pic.twitter.com/B19KGFUtII
— Cryptolaemus (@Cryptolaemus1) November 26, 2021
Как вскоре выяснили ИБ-эксперты, корень проблемы был в том, что операторы Emotet нашли способ подделывать подписи в файлах, упакованных MSIX. Хотя Microsoft выпустила патч для этой уязвимости (CVE-2021-43890) еще в декабре 2021 года и обеспечила защиту от таких атак при помощи групповой политики, атаки все равно продолжились.
Теперь в компании приняли радикальное решение временно отключить обработчик протока вовсе, то есть теперь ссылки ms-appinstaller попросту не будут работать.
«Если вы используете протокол ms-appinstaller на своем сайте, мы рекомендуем обновить ссылку на ваше приложение, удалив “ms-appinstaller:?source=”, чтобы пакет MSIX или файл App Installer загружались на компьютер пользователя, — пишут разработчики. — Мы понимаем, что эта функция имеет большое значение для многих организаций. Мы рассматриваем возможность введения групповой политики, которая позволит администраторам вновь включить протокол и контролировать его использование в своих организациях».
