0
0
Vários especialistas em segurança expressaram decepção esta semana com a reversão silenciosa da Microsoft na quarta-feira de uma decisão que havia anunciado em fevereiro de desativar macros do Office em arquivos da Internet. Provavelmente em resposta, a Microsoft esclareceu na sexta-feira que a reversão é apenas temporária, enquanto a empresa faz algumas alterações adicionais para melhorar a usabilidade.
Em uma breve – e mal perceptível – atualização na quarta-feira para o anúncio de fevereiro, a empresa originalmente disse que estava dando o passo porque os clientes queriam que o fizesse. “Com base no feedback, estamos revertendo essa mudança do Current Channel”, disse a Microsoft. “Agradecemos o feedback que recebemos até agora e estamos trabalhando para fazer melhorias nessa experiência.”
Na sexta-feira, a empresa revisou a redação para deixar claro que a reversão não era permanente. “Esta é uma mudança temporária, e estamos totalmente comprometidos em fazer a alteração padrão para todos os usuários”, observou a Microsoft. A atualização observou que as organizações que quisessem poderiam bloquear macros da Internet por meio da configuração de Diretiva de Grupo.
As macros permitem que os usuários automatizem tarefas comumente repetidas em aplicativos da Microsoft, como Word, PowerPoint e Excel. Mas eles também são há muito tempo um vetor de ataque favorito para ameaças que buscam implantar ransomware e outros malwares em sistemas Windows por meio de e-mails de phishing e outros meios. Como um exemplo gritante: em janeiro de 2022, pouco antes da Microsoft anunciar sua decisão de bloquear a execução de macros por padrão, cerca de 31% de todas as ameaças que a Netskope bloqueou envolveram arquivos armados do Office.
“Os macros no Microsoft Office têm sido uma bênção mista desde a sua criação”, diz Mike Parkin, engenheiro técnico sênior da Vulcan Cyber. “Embora eles forneçam muitas funcionalidades que os usuários gostam e alavancaram de várias maneiras, eles também têm sido um vetor de ataque popular desde que foram introduzidos.”
O anúncio da Microsoft em fevereiro de que eles estavam fazendo algo sobre macros como vetor de ataque foi bem-vindo pelas pessoas em segurança cibernética. Então, sua mudança de ideia agora é um pouco decepcionante, diz Parkin. “Embora a Microsoft ainda não tenha dito por que eles estão revertendo a mudança, parece provável que seja porque os usuários dependem da funcionalidade e preferem mantê-la, apesar do risco.”
Um porta-voz da Microsoft apontou a Dark Reading para a atualização atualizada da empresa sobre a reversão quando solicitado a comentar.
A Macro Ameaça
A própria Microsoft notou a ameaça que as macros representam. Na verdade, em abril, a empresa pediu aos administradores do Windows que garantam que as macros do Office estejam desativadas no ambiente para se proteger contra malware de macro. A empresa apontou várias famílias de ransomware que os atacantes haviam distribuído em sistemas Windows abusando de macros. Por causa disso, muitos especialistas em segurança reagiram com entusiasmo quando a Microsoft anunciou que as macros da Internet seriam bloqueadas por padrão no Office a partir de abril de 2022.
A partir da versão 2203 do Office, os usuários não seriam mais capazes de ativar macros de conteúdo em arquivos da Internet clicando em um botão, disse a Microsoft. Em vez disso, quando eles tentam abrir um download ou anexo da Internet, uma mensagem os alertaria os usuários sobre a presença de macros VBA no arquivo e os direcionaria a aprender mais sobre os riscos potenciais associados ao arquivo.
A alteração levou a uma queda notável nos ataques baseados no Office. De acordo com a Netskope, a porcentagem de malware do Office detectada pela plataforma de segurança na nuvem da empresa diminuiu de forma constante desde fevereiro de 2022 e pairou em menos de 10% nos últimos cinco meses — em comparação com 35% há um ano.
A reversão da Microsoft esta semana resultará em um ressurgimento do malware do Office, diz Ray Canzanese, diretor da Netskope Threat Labs. “Estamos desapontados com a decisão”, diz Canzanese. “Documentos maliciosos do Office são um importante vetor de infiltração para invasores, sendo usados para espalhar backdoors, roubos de informações e ransomware.”
A decisão da Microsoft sugere que a empresa decidiu priorizar as preocupações de usabilidade de uma minoria vocal de clientes sobre os benefícios de segurança inerentes à desativação de macros por padrão para todos os usuários do Office, diz ele. “Em vez de ter usuários que preferiram o comportamento antigo de desativar a medida de segurança aprimorada, os usuários e administradores agora terão que optar”, diz Canzanese. “Com essa reversão, esperamos que os documentos do Office recuperem sua popularidade anterior entre os atacantes.”
Ian McShane, vice-presidente de estratégia da Arctic Wolf, diz que desativar as macros do Office por padrão foi um grande passo em frente na garantia de um caminho de ataque testado para adversários. Reativar macros agora significa que os usuários do Office estão menos seguros hoje do que eram há uma semana. McShane diz que teria sido melhor para a Microsoft continuar bloqueando macros por padrão do que deixar para as organizações fazê-lo. através das configurações de diretiva de grupo. As várias etapas e configurações que geralmente estão envolvidas em fazer isso podem ser confusas, diz ele.
Em vez disso, a melhor abordagem teria sido permitir que aqueles que precisam de macros o habilitassem por meio de configurações de grupo. “A segurança não beneficia ninguém e é perigosa”, diz ele.
FONTE: DARK READING