Microsoft, değişikliği geri alma planlarını geçici olarak açıkladıktan haftalar sonra, Office uygulamalarında varsayılan olarak Visual Basic for Applications (VBA) makrolarını engellemeye resmi olarak devam etti.
Şirket, 20 Temmuz’daki bir güncellemede, “Müşteri geri bildirimlerini incelememize dayanarak, farklı senaryolar için hangi seçeneklere sahip olduğunuzu daha net hale getirmek için hem son kullanıcımızda hem de BT yöneticisi belgelerimizde güncellemeler yaptık” dedi.
Bu Şubat ayının başlarında Microsoft, tehdit aktörlerinin kötü amaçlı yazılım dağıtmak için bu özelliği kötüye kullanmasını önlemenin bir yolu olarak Access, Excel, PowerPoint, Visio ve Word gibi Office uygulamalarında makroları varsayılan olarak devre dışı bırakma planlarını duyurdu.
Günümüzde zarar veren siber saldırıların çoğunun, ilk erişim için birincil vektör olarak kötü amaçlı makrolar içeren sahte belgeleri yaymak için e-posta tabanlı kimlik avı cazibelerinden yararlandığı bilinen bir gerçektir.
Şirket, belgelerinde “Makrolar Office’e birçok işlevsellik ekleyebilir, ancak genellikle kötü niyetli kişiler tarafından kötü niyetli kişiler tarafından şüpheli olmayan kurbanlara kötü amaçlı yazılım dağıtmak için kullanılır” diyor.
İnternetten indirilen veya e-posta eki olarak alınan herhangi bir Office dosyası için seçeneği varsayılan olarak devre dışı bırakarak, fikir, tüm saldırı vektörleri sınıfını ortadan kaldırmak ve Emotet, IcedID, Qakbot ve Bumblebee gibi kötü amaçlı yazılımların etkinliklerini kesintiye uğratmaktır.
Ancak Microsoft, Temmuz ayının ilk haftasında değişiklikten geri adım attı ve The Hacker News’e ek kullanılabilirlik iyileştirmeleri yapmak için özelliğin kullanıma sunulmasını duraklattığını söyledi. Bu arada, teknoloji devinin makroları engelleme kararı, rakiplerini kampanyalarını .LNK ve .ISO dosyaları gibi alternatif dağıtım yöntemlerine başvurmaya uyarlamaya yöneltti.
Bununla birlikte, bulaşma zincirini tetiklemek için bir giriş noktası olarak kötü amaçlı makroların kullanılması yalnızca Microsoft Office ile sınırlı değildir.
Geçen hafta HP Wolf Security, Latin Amerika’daki otel endüstrisini hedefleyen kötü amaçlı yazılımları dağıtmak için OpenDocument metin (.odt) dosyalarını kullanan “olağandışı derecede gizli bir kötü amaçlı yazılım kampanyasını” işaretledi.
Sahte rezervasyon isteği e-postaları ile birlikte gelen belgeler, alıcılardan makroları etkinleştirmelerini ister, bu da AsyncRAT kötü amaçlı yazılım yükünün yürütülmesine neden olur.
Güvenlik araştırmacısı Patrick Schläpfer, “OpenDocument dosyalarında kötü amaçlı yazılımın algılanması çok zayıf” dedi. “OpenDocument dosyalarının yapısı, virüsten koruma tarayıcıları tarafından veya kötü amaçlı yazılım kampanyalarında sıklıkla kullanıldığı kadar iyi analiz edilmiyor.”
“Birçok e-posta ağ geçidi, birden çok bağlantılı belge veya makro içeren daha yaygın dosya türleri hakkında uyarır, ancak OpenDocument dosyaları bu şekilde alınmaz ve engellenmez – bu, koruma ve algılamanın ilk aşamada başarısız olduğu anlamına gelir.”