Макросы возвращаются

Компания Microsoft решила отказаться от автоматической блокировки макросов. Рассказываем о том, чем это угрожает кибербезопасности вашего бизнеса.

Microsoft отказалась от блокировки выполнения макросов

Один из самых популярных способов распространения зловредов — это добавление вредоносных команд в макросы электронных документов. И в подавляющем большинстве случаев речь идет о макросах для файлов Microsoft Office, то есть для обычных текстовых документов Word, таблиц Excel и презентаций Power Point. С такими файлами любой сотрудник компании сталкивается каждый день, и не раз.

Эта проблема существует уже более двадцати лет, так что ее решение, мягко говоря, давно назрело. В феврале этого года компания Microsoft анонсировала, что выполнение макрокоманд в скачанных из Интернета документах будет заблокировано. Однако уже в начале июля пользователи MS Office заметили, что это нововведение было отменено. На момент написания этого поста компания так и не опубликовала официального заявления по поводу отмены полной блокировки, хотя ее представители говорят, что это решение временное и было принято «на основе отзывов». Но это неплохой повод напомнить о том, что такое макросы, чем они могут навредить кибербезопасности компании и как защититься от этой угрозы.

Что такое макросы и чем они опасны?

Зачастую пользователям пакета Microsoft Office требуется автоматизировать какие-то процессы. Для этого предусмотрена возможность запрограммировать некий алгоритм действий, создав тот самый макрос. Простой пример: бухгалтер каждый месяц делает типовой отчет, и чтобы сэкономить время, он создает макрос, который автоматически будет выделять жирным все имена клиентов во втором столбце.

Для создания макросов используется VBA (Visual Basic for Applications) — несколько упрощенный, но все-таки язык программирования. Однако злоумышленники также могут использовать его в своих целях.

В этом месте стоит отметить, что работа с макросами подразумевает достаточно глубокие знания пакета программ Microsoft Оffice, которыми обладают далеко не все сотрудники, чтобы они ни писали в своих резюме. Некоторые из них даже не подозревают о существовании макросов. Преступники же, напротив, умеют создавать с помощью макросов не безобидные алгоритмы, автоматизирующие рутинные действия, а вредоносные команды.

Как это работает?

Типичная атака на компанию начинается с массовой рассылки на почту сотрудникам вредоносных писем. Эти письма могут выглядеть как приглашения на работу, новости компании, счета от подрядчиков, в них могут обещать уникальную информацию о конкурентах и многое другое. Изощренность уловок ограничивается только фантазией преступников. Главная задача таких писем — заставить человека открыть вложенный в письмо файл или скачать некий документ, перейдя по ссылке.

Преступникам нужно, чтобы вредоносный макрос, содержащийся внутри файла, был запущен. Много лет назад встроенные макросы запускались автоматически, но Microsoft ограничила эту функциональность, и теперь при открытии скачанного из Интернета файла пользователь видит предупреждение о том, что макрос заблокирован.

Казалось бы, проблема решена. Но нет — многие не задумываясь нажимают на кнопку Enable Content (Разрешить контент) и этим дают согласие на автоматическое выполнение тех самых макросов, что в итоге приводит к установке вредоносного ПО на устройство жертвы. Так злоумышленники получают доступ к инфраструктуре компании. При этом, как мы уже писали выше, большинство сотрудников даже не подозревают, к каким проблемам может привести невинное нажатие кнопки Enable Content.

Наконец разработчики из Microsoft пришли к единственно верному решению — не давать пользователю такого выбора, а сразу блокировать макросы в файлах из Интернета. Все сообщество ИБ-экспертов приветствовало это нововведение, появившееся у части пользователей уже в начале апреля этого года. Вместо кнопки они видели предупреждение системы безопасности с ссылкой на статью об угрозах кибербезопасности от макросов. Но, как выяснилось, радость была преждевременной — обновление откатили.

Как защититься?

Прежде всего, IT-администраторы крупных компаний имеют возможность запретить использование макросов на уровне политик безопасности. Так что если в ваших рабочих процессах макросы не используются, мы бы рекомендовали сделать это. В таком случае пользователь, открывший документ с макросом, увидит другое предупреждение:

Предупреждение о том, что макросы заблокированы.

Если же такая опция вам по каким-либо причинам недоступна, то до тех пор, пока специалисты Microsoft не вернули автоматическую блокировку выполнения макросов в скачанных файлах, особенно важно, чтобы все рабочие устройства были защищены надежными защитными решениями. Помимо этого, мы рекомендуем обучать всех работников компании основам кибербезопасности, уделяя особое внимание следующим моментам:

  • Не стоит скачивать и открывать неожиданно полученные файлы, даже если они исходят от человека или организации, которым вы доверяете. Вполне возможно, что вам пишут мошенники.
  • Не следует бездумно соглашаться на включение контента в скачанном с веб-страницы или полученном по электронной почте файле. Для обычного просмотра содержимого в этом не должно быть никакой необходимости.
  • Если кто-то в письме или на сайте убеждает вас включить выполнение активного контента — это заведомо подозрительно.
Советы