Microsoft pakt het aloude risico van macro’s in Office aan. Een nieuwe functie in Office 2016 blokkeert malafide macro’s en voorkomt malware-infecties. Oudere Office-versies staan echter niet geheel machteloos.
Malware die gebruik maakt van macro’s in applicaties als Word, Excel en Powerpoint lijkt een spook uit het verleden. Dit type dreiging heeft inderdaad furore gemaakt in de jaren negentig, maar het blijkt niet verdwenen. Sterker nog: macro-based malware zit in de lift, merkt Microsoft op in zijn Threat Intelligence-rapport van afgelopen jaar. Sindsdien zijn de infecties blijven stijgen.
Selectief toestaan
In reactie op dit groeiende, ‘oude’ gevaar voert de softwaremaker nu een nieuwe, tactische functie door in de nieuwste versie van Office. De 2016-release van dat veelgebruikte applicatiepakket laat beheerders het risico van maco’s aan banden leggen. Middels Group Policy zijn macro’s selectief toe te staan voor een bepaalde set aan vertrouwde workflows. Gebruik van maco’s buiten die bedrijfshandelingen is dan niet toegestaan en wordt automatisch geblokkeerd.
Dit moet gebruiksscenario’s met een hoge mate van risico beter beveiligen tegen malafide macro’s. Hierbij krijgen eindgebruikers een andere en strengere melding dan gebruikelijk bij uitgeschakelde macro’s, meldt Microsoft in een blogpost hierover. Zo kunnen deze eindgebruikers makkelijker onderscheid maken of het een risicosituatie betreft of een normale workflow, aldus het team van Microsofts Malware Protection Center in de blogpost.
Downloaden, delen, mailen
Deze nieuwe functie is via Group Policy in te stellen en valt per applicatie te configureren. Gedownloade, gedeelde en gemailde documenten met macro’s zijn zo veiliger te gebruiken. Macro-malware komt namelijk niet alleen mee in bestanden die zijn gedownload van onbekende, onvertrouwde sites. De kwaadaardige software dient zich ook aan via cloudopslagdiensten, sluwe phishingmails en andere wegen.
Microsoft biedt beheerders van Office 2016 beheertemplates om de Group Policy in te stellen op macrobescherming. De softwareleverancier sluit zijn blogpost af met enkele adviezen, aan eindgebruikers en beheerders. Zo zouden eindgebruikers macro’s niet moeten inschakelen voor documenten die ze ontvangen van een bron die ze niet vertrouwen of kennen. Daarnaast krijgen Office-gebruikers de tip om voorzichtig te zijn met macro’s in attachments die ze krijgen van mensen die ze wel vertrouwen. ‘Voor het geval zij zijn gehackt.’
Tips voor gebruikers en beheerders
Beheerders krijgen de tip om de beperkende mogelijkheden in Office in te schakelen om hun organisatie te beschermen tegen malware die macro’s gebruiken. Daarnaast is er nog de verdergaande stap van algehele blokkade: ‘Als je organisatie geen workflows heeft die het gebruik van macro’s nodig heeft, schakel ze geheel uit. Dit is de meest veelomvattende mitigation die je nu kunt implementeren.’
Het geheel uitschakelen van macro’s is echter lang niet altijd mogelijk. Legacy-code, inclusief Office-macro’s, is nu eenmaal een business reality, schrijft de Britse it-securityspecialist Kevin Beaumont op Medium.com. Hij reikt beheerders Group Policy-instellingen en andere middelen aan om macro’s aan banden te leggen.
Oudere Office-versies en ransomware
Deze hulp is voor diverse Office-versies. De nieuwe macro-blokkering die Microsoft nu brengt, is namelijk alleen van toepassing op de 2016-versie van het kantoorpakket. Toch staan voorgaande – en momenteel meer gebruikte – versies niet in de kou. Microsoft biedt al geruime tijd beheertemplates voor Office-versies 2007, 2010 en 2013, meldt malware-onderzoeker Bart Blaze van securityleverancier Panda in een tweet. Dit helpt ook tegen het groeiende gevaar van ransomware.
