פקודות מאקרו של VBA (Visual Basic for Applications) במסמכי Microsoft Office מנוצלות זה מכבר על ידי יוצרי איומים כדי לחדור למערכת יעד ולפרוס תוכנות זדוניות ותוכנות כופר. אם מאפשרים להם לפעול באופן אוטומטי, ניתן למנף פקודות מאקרו כדי להפעיל קוד זדוני לאחר פתיחת מסמך של מיקרוסופט. אפילו כאשר Microsoft Office השבית את הפעלת הפקודות מאקרו והציג סרגל התראות שהזהיר את המשתמשים מפני סיכוני האבטחה של הפעלת פקודות מאקרו אלה, לגורמים זדוניים היו תרחישים משכנעים שונים כדי להערים על משתמשים ולגרום להם ללחוץ על כפתור "הפעל פקודות מאקרו". כדי לסייע במאבק בתוכנות זדוניות מבוססות פקודות מאקרו, מיקרוסופט חוסמת פקודות מאקרו של Office שהתקבלו מהאינטרנט בחמישה יישומי Office כברירת מחדל החל מ-27 ביולי 2022. כתוצאה מכך, משתמשי Access, Excel, PowerPoint, Visio ו-Word אינם יכולים להפעיל סקריפטים של פקודות מאקרו בתוך קבצים לא מהימנים שהורדו מהאינטרנט.
הגבלה זו הוכרזה כמשנה את כללי המשחק עבור תעשיית אבטחת הסייבר. עם זאת, האם היא באמת מספקת בטיחות למשתמשי מיקרוסופט? התשובה היא לא. פושעי סייבר מיומנים במציאת דרכים חדשות וחדשניות לפרוץ ולחדור למערכות שלכם.
וקטור התקפה VSTO
וקטור התקפה חדש ומתפתח בו משתמשים פושעי סייבר כחלופה ל-VBA הוא Visual Studio Tools for Office (VSTO), שיכול לייצא תוסף המוטמע בתוך מסמך Office. קובץ VSTO של Office מאפשר לתוקפים לבצע פישינג על משתמשים ולהפעיל קוד זדוני מרחוק באמצעות התקנת התוסף.
מסמכי VSTO Office מקושרים ליישום Visual Studio Office File, שנכתב באמצעות .NET. הוא מסוגל להכיל קוד שרירותי שניתן להשתמש בו למטרות זדוניות, בדיוק כמו VBA. מסמכי VSTO Office יכולים לצרף הפניות ומטא-דאטה כדי להוריד קובץ VSTO (יישום .NET) מהאינטרנט לאחר שמשתמשים פותחים את הקובץ.
להלן הדגמה מוקלטת שלנו המציגה כיצד קובץ VSTO Word מוריד ומפעיל יישום מזיק במחשב של הקורבן.
טכנולוגיית Deep CDR™ (Content Disarm and Restructure) מסוגלת לנטרל מתקפות סייבר מסוג זה
בהנחה שכל קובץ מהווה איום פוטנציאלי, טכנולוגיית Deep CDR™ מזהה ומנטרלת את כל הרכיבים ההפעלה החשודים המוטמעים בקבצים, כדי להבטיח שכל הקבצים הנכנסים לארגונכם אינם מזיקים. זוהי הגישה היעילה ביותר למניעת תוכנות זדוניות מתוחכמות ומתקפות "יום אפס".
צפו בהדגמה שלהלן כדי לראות כיצד קובץ ה-VSTO הזדוני של Word הושבת על ידי OPSWAT MetaDefender באמצעות טכנולוגיית Deep CDR™.
למידע נוסף על טכנולוגיית Deep CDR™. כדי לגלות כיצד נוכל לסייע בהגנה מקיפה על הארגון שלכם מפני מסמכים זדוניים, פנו עוד היום OPSWAT .
הַפנָיָה
פקודות מאקרו מהאינטרנט חסומות כברירת מחדל ב-Office - פריסת Office
הפכו את פישינג לנהדר שוב. קבצי VSTO של אופיס הם סיוט המאקרו החדש?
