VBA-Makros (Visual Basic for Applications) in Microsoft Office-Dokumenten werden seit langem von Bedrohungsautoren missbraucht, um sich Zugang zu einem Zielsystem zu verschaffen und Malware und Ransomware zu installieren. Wenn Makros automatisch ausgeführt werden dürfen, können sie genutzt werden, um bösartigen Code auszuführen, sobald ein MS-Dokument geöffnet wird. Selbst als Microsoft Office die Ausführung von Makros deaktivierte und eine Benachrichtigungsleiste anzeigte, in der die Benutzer vor den Sicherheitsrisiken bei der Ausführung dieser Makros gewarnt wurden, hatten bösartige Akteure verschiedene überzeugende Szenarien, um die Benutzer dazu zu bringen, auf die Schaltfläche "Makro aktivieren" zu klicken. Um makrobasierte Malware zu bekämpfen, blockiert Microsoft ab dem 27. Juli 2022 standardmäßig Office-Makros, die aus dem Internet bezogen wurden, in fünf Office-Anwendungen. Infolgedessen können Access-, Excel-, PowerPoint-, Visio- und Word-Benutzer keine Makroskripte in nicht vertrauenswürdigen Dateien aktivieren, die aus dem Internet heruntergeladen wurden.
Diese Einschränkung wurde als bahnbrechende Neuerung für die Cybersicherheitsindustrie angekündigt. Bietet sie jedoch wirklich Sicherheit für MS-Nutzer? Die Antwort lautet nein. Cyberkriminelle finden immer wieder neue und innovative Wege, um Ihre Systeme zu hacken und zu infiltrieren.
VSTO-Angriffsvektor
Ein neu aufkommender Angriffsvektor, der von Cyberkriminellen als Alternative zu VBA genutzt wird, ist Visual Studio Tools for Office (VSTO), das ein in ein Office-Dokument eingebettetes Add-In exportieren kann. Eine VSTO-Office-Datei ermöglicht es Angreifern, Benutzer zu phishen und über die Installation des Add-Ins schädlichen Code aus der Ferne auszuführen.
VSTO Office-Dokumente sind mit einer Visual Studio Office File-Anwendung verknüpft, die mit .NET geschrieben ist. Sie kann wie VBA beliebigen Code enthalten, der für bösartige Zwecke verwendet werden kann. VSTO-Office-Dokumente können Verweise und Metadaten enthalten, um eine VSTO-Datei (eine .NET-Anwendung) aus dem Internet herunterzuladen, sobald Benutzer die Datei öffnen.
Nachfolgend sehen Sie unsere aufgezeichnete Demo, die zeigt, wie eine VSTO-Word-Datei eine schädliche Anwendung auf den Computer des Opfers herunterlädt und ausführt.
Deep CDR (Content Disarm and Restructure)-Technologie kann diese Art von Cyberangriff entschärfen
Da jede Datei eine potenzielle Bedrohung darstellt, erkennt und neutralisiert Deep CDR alle in Dateien eingebetteten verdächtigen ausführbaren Komponenten, um sicherzustellen, dass alle Dateien, die in Ihr Unternehmen gelangen, nicht schädlich sind. Dies ist der effektivste Ansatz, um fortschrittliche, ausweichende Malware und Zero-Day-Angriffe zu verhindern.
Sehen Sie sich die folgende Demo an, um zu sehen, wie die bösartige VSTO-Word-Datei deaktiviert wurde, indem Sie OPSWAT MetaDefenderDeep CDR deaktiviert wurde.
Erfahren Sie mehr über die Deep CDR Technologie. Sprechen Sie jetzt mit einem Spezialisten von OPSWAT , um zu erfahren, wie wir Ihr Unternehmen umfassend vor waffenfähigen Dokumenten schützen können.
Referenz
Makros aus dem Internet werden in Office standardmäßig blockiert - Deploy Office
Phishing wieder großartig machen. VSTO-Office-Dateien sind der neue Makro-Albtraum?
