Срочно. Microsoft борется с вредоносным ПО для макросов Excel
Microsoft: борется с вредоносным ПО для макросов Excel. Фото: Pixabay
Microsoft в течение многих лет использовала интеграцию между своим интерфейсом сканирования антивредоносного ПО ( AMSI ) и Office 365 для устранения вредоносных программ макросов, сообщает ZDNet.
Но её успешные усилия по удалению сценариев макросов, написанных на Visual Basic для приложений (VBA), в конечном итоге подтолкнули злоумышленников к более старому макроязык под названием XLM, который появился в Excel 4.0 в 1992 году.
Теперь Microsoft расширяет интеграцию своего AMSI с Office 365, чтобы включить сканирование макросов Excel 4.0 XLM во время выполнения, что приводит AMSI в соответствие с VBA.
AMSI позволяет приложениям интегрироваться с любым антивирусом на компьютере под управлением Windows, чтобы антивирус мог обнаруживать и блокировать ряд вредоносных сценариев в документах Office. Microsoft отмечает, что её средство защиты от вредоносных программ Defender использует эту интеграцию для обнаружения и блокировки вредоносных программ на основе XLM и призывает других поставщиков средств защиты от вредоносных программ также принять её.
Хотя XLM был заменён VBA в 1993 году, XLM все ещё используется некоторыми клиентами, и поэтому он по-прежнему поддерживается в Excel.
«Будучи более элементарным, чем VBA, XLM достаточно мощный, чтобы обеспечить взаимодействие с операционной системой, и многие организации и пользователи продолжают использовать его функции в законных целях. Киберпреступники знают об этом и все чаще злоупотребляют макросами XLM, чтобы вызывать Win32 API и запускать команды оболочки», — объясняют специалисты службы безопасности Microsoft.
Появление в 2018 году сканирования среды выполнения VBA от AMSI «эффективно сняло броню, которой оснащалось вредоносное ПО с помощью макрообфускации, сделав вредоносный код более тщательным», — заявляет в Microsoft.
«Естественно, злоумышленники, подобные тем, кто стоит за Trickbot, Zloader и Ursnif, искали в других местах возможности, которыми можно злоупотреблять и работать под радаром решений безопасности, и нашли подходящую альтернативу в XLM», - продолжают представители компании.
Если антивирус обнаруживает вредоносный макрос XLM, макрос не выполняется, Excel завершает работу, блокируя атаку.
Проверка макросов XLM во время выполнения теперь доступна в Microsoft Excel и включена по умолчанию в Февральском текущем канале и Ежемесячном корпоративном канале для пользователей подписки на Microsoft 365
Комментариев пока не было