VBA-Makros (Visual Basic for Applications) in Microsoft Office-Dokumenten werden seit langem von Bedrohungsautoren missbraucht, um sich Zugang zu einem Zielsystem zu verschaffen und Malware und Ransomware zu installieren. Wenn Makros automatisch ausgeführt werden dürfen, können sie genutzt werden, um bösartigen Code auszuführen, sobald ein MS-Dokument geöffnet wird. Selbst als Microsoft Office die Ausführung von Makros deaktivierte und eine Benachrichtigungsleiste anzeigte, in der die Benutzer vor den Sicherheitsrisiken bei der Ausführung dieser Makros gewarnt wurden, hatten bösartige Akteure verschiedene überzeugende Szenarien, um die Benutzer dazu zu bringen, auf die Schaltfläche "Makro aktivieren" zu klicken. Um makrobasierte Malware zu bekämpfen, blockiert Microsoft ab dem 27. Juli 2022 standardmäßig Office-Makros, die aus dem Internet bezogen wurden, in fünf Office-Anwendungen. Infolgedessen können Access-, Excel-, PowerPoint-, Visio- und Word-Benutzer keine Makroskripte in nicht vertrauenswürdigen Dateien aktivieren, die aus dem Internet heruntergeladen wurden.
Diese Einschränkung wurde als bahnbrechende Neuerung für die Cybersicherheitsindustrie angekündigt. Bietet sie jedoch wirklich Sicherheit für MS-Nutzer? Die Antwort lautet nein. Cyberkriminelle finden immer wieder neue und innovative Wege, um Ihre Systeme zu hacken und zu infiltrieren.
VSTO-Angriffsvektor
Ein neu aufkommender Angriffsvektor, der von Cyberkriminellen als Alternative zu VBA genutzt wird, ist Visual Studio Tools for Office (VSTO), das ein in ein Office-Dokument eingebettetes Add-In exportieren kann. Eine VSTO-Office-Datei ermöglicht es Angreifern, Benutzer zu phishen und über die Installation des Add-Ins schädlichen Code aus der Ferne auszuführen.
VSTO Office-Dokumente sind mit einer Visual Studio Office File-Anwendung verknüpft, die mit .NET geschrieben ist. Sie kann wie VBA beliebigen Code enthalten, der für bösartige Zwecke verwendet werden kann. VSTO-Office-Dokumente können Verweise und Metadaten enthalten, um eine VSTO-Datei (eine .NET-Anwendung) aus dem Internet herunterzuladen, sobald Benutzer die Datei öffnen.
Nachfolgend sehen Sie unsere aufgezeichnete Demo, die zeigt, wie eine VSTO-Word-Datei eine schädliche Anwendung auf den Computer des Opfers herunterlädt und ausführt.
Die Deep CDR™-Technologie (Content Disarm and Restructure) kann diese Art von Cyberangriffen entschärfen
Ausgehend von der Prämisse, dass jede Datei eine potenzielle Bedrohung darstellt, erkennt und neutralisiert die Deep CDR™-Technologie alle verdächtigen ausführbaren Komponenten, die in Dateien eingebettet sind, um sicherzustellen, dass alle Dateien, die in Ihr Unternehmen gelangen, unbedenklich sind. Dies ist der wirksamste Ansatz, um hochentwickelte, schwer zu erkennende Malware und Zero-Day-Angriffe abzuwehren.
Sehen Sie sich das folgende Demo-Video an, um zu erfahren, wie die schädliche VSTO-Word-Datei deaktiviert wurde durch OPSWAT MetaDefender mithilfe der Deep CDR™-Technologie deaktiviert wurde.
Erfahren Sie mehr über die Deep CDR™-Technologie. Wenn Sie wissen möchten, wie wir Ihrem Unternehmen umfassenden Schutz vor bösartigen Dokumenten bieten können, wenden Sie sich noch heute an einen OPSWAT
Referenz
Makros aus dem Internet werden in Office standardmäßig blockiert - Deploy Office
Phishing wieder großartig machen. VSTO-Office-Dateien sind der neue Makro-Albtraum?
