Jedna z podstawowych zasad bezpieczeństwa wyraźnie ostrzega przed uruchamianiem nieznanych plików. Niestety zasady są po to, by je łamać – przekazuje niemądre powiedzenie. Firma Microsoft zrobiła wiele, aby przeciwdziałać zagrożeniom, które wykorzystują słabości w mechanizmach systemowych, jak również w pakiecie Office. Wszystkie zmiany będące uzupełnieniem bezpieczeństwa Windows zostały wprowadzone co najmniej dekadę za późno, ale lepiej późno niż wcale. Dokładnie rzecz ujmując, firma Microsoft w pakiecie Office już wkrótce bezwzględnie wyłączy uruchamianie makr dla plików pobieranych z Internetu.
Makra jako narzędzie cyberprzestępców
Dotychczas było tak, że przez totalną katastrofą, jaką jest zainfekowanie systemu operacyjnego, chroniło „domyślne” zabezpieczenie – od wersji Office z roku 2010 dokumenty z makrami nie były już automatycznie uruchamiane (co i tak dało się zmienić w ustawieniach). Zamiast tego wyświetlane jest powiadomienie o zablokowanej zawartości.
W przeszłości rzecz jasna tego rodzaju „zabezpieczenia” były skutecznie omijane za sprawą modyfikacji rejestru Windows, jak również exploitów, które odpowiednio zaprogramowane, potrafiły korzystać ze znanych oraz nieznanych nikomu luk w pakiecie Microsoft Office. Wiedzieli o tym przestępcy, wiedzieli też etyczni hakerzy, dlatego oprogramowanie antywirusowe, pomimo nierozsądnych głosów sprzeciwu, powinno być zainstalowane na każdym popularnym systemie operacyjnym.
Tak będzie wyglądało okienko o zablokowanym makro:
Zmiana wprowadzająca definitywne blokowanie makr będzie obowiązywać od kwietnia 2022 roku w oprogramowaniu:
- Access, Excel,
- PowerPoint,
- Microsoft Visio,
- Microsoft Word.
Nie oznacza to, że mechanizm zabezpieczający zostanie wprowadzony już teraz dla wszystkich. Na początek trafi do organizacji, które będą mogły zdecydować o włączeniu odpowiedniej funkcji. Dzięki specjalnemu atrybutowi MOTW dodawanemu do plików przez system Windows na partycjach NTFS (nie działa dla FAT32), pliki pochodzące z niezaufanego źródła, jakim jest Internet, będą zawierały indeks podwyższonego ryzyka możliwej infekcji. Nie wiadomo, co z załącznikami pobieranymi przez klient pocztowe – Mozilla Thunderbird, Microsoft Outlook. Wydaje się, że pliki spakowane do ZIP z hasłem nie otrzymają atrybutu MOTW.
Zabezpieczenie trafi później do pakietów Office 2021, 2019, 2016 i 2013.
W jaki sposób lepiej zabezpieczyć komputer Windows i macOS?
Posiłkując się oprogramowaniem ochronnym! Warto zadbać o reguły odpowiadające za blokowanie uruchamianych plików z katalogów „%APPDATA%” i „%TEMP%”. W tych lokalizacjach najczęściej jest „upuszczane” szkodliwe oprogramowanie. Oczywiście oprogramowanie antywirusowe nowej generacji robi to automatycznie!
Inną i bardzo skuteczną prewencyjną ochroną przed wirusami, które pobierają cokolwiek z sieci, jest blokowanie skryptów, które są uruchamiane przez systemowe procesy, takie jak: cmd.exe, powershell.exe, wscript.exe, csrcipt.exe itp. Jeżeli jest to możliwe, to najlepiej blokować wszystkie próby aktywności sieciowej. Niektóre programy bezpieczeństwa robią to doskonale jak na przykład polski next-gen antywirus MKS_VIR.
Na koniec warto zapamiętać! Nigdy nie włączaj makr w pliku Office, jeśli nie masz pewności, co robią. Nieoczekiwanie makra mogą stanowić istotne zagrożenie dla bezpieczeństwa systemu i danych.
