Afin de lutter contre les ransomwares et d'autres logiciels malveillants
icrosoft a confirmé cette semaine qu'il commencerait bientôt à bloquer par défaut les macros Visual Basic Applications (VBA) dans les applications Office après avoir discrètement annulé le changement plus tôt ce mois-ci.
Dans une nouvelle mise à jour, la grande enseigne de la technologie a déclaré qu'elle commencerait à bloquer les macros Office par défaut à partir du 27 juillet. Cela survient peu de temps après que Microsoft a interrompu le déploiement de la fonction de blocage des macros en citant des «*commentaires d'utilisateurs*» non spécifiés. On pense que le déploiement initial, qui a débuté début juin, a causé des problèmes aux organisations utilisant des macros pour automatiser les processus de routine, tels que la collecte de données ou l'exécution de certaines tâches.
Dans une déclaration, Microsoft a déclaré avoir suspendu le déploiement pendant qu'il « apporte quelques modifications supplémentaires pour améliorer la convivialité ». La société a depuis mis à jour sa documentation avec des instructions étape par étape pour les utilisateurs finaux et les administrateurs informatiques expliquant comment Office détermine s'il faut bloquer ou exécuter des macros, quelles versions d'Office sont affectées par les nouvelles règles, comment autoriser les macros VBA dans les fichiers de confiance et comment se préparer au changement.
Citation Envoyé par Microsoft
Les macros VBA sont un moyen courant pour les acteurs malveillants d’accéder au déploiement de programmes malveillants et de ransomware. Par conséquent, pour améliorer la sécurité dans Office, nous modifions le comportement par défaut des applications Office pour bloquer les macros dans les fichiers à partir d’Internet.
Avec cette modification, lorsque les utilisateurs ouvrent un fichier provenant d’Internet, tel qu’une pièce jointe d’e-mail, et que ce fichier contient des macros, le message suivant s’affiche :
Le bouton En savoir plus est destiné à un article à l'intention des utilisateurs finaux et des travailleurs de l’information qui contient des informations sur le risque de sécurité des acteurs malveillants utilisant des macros, des pratiques sûres pour empêcher le hameçonnage et les programmes malveillants, ainsi que des instructions sur la façon d’activer ces macros (si nécessaire).
Dans certains cas, les utilisateurs voient également le message si le fichier est à partir d’un emplacement de votre intranet qui n’est pas identifié comme étant approuvé. Par exemple, si les utilisateurs accèdent à des fichiers sur un partage réseau à l’aide de l’adresse IP du partage.
Les macros constituent un vecteur d'attaque populaire dans le rang des cybercriminels. Dans le cadre de ces attaques, les utilisateurs reçoivent généralement un document par courrier électronique ou qu'ils sont invités à télécharger sur un site Web. À l'ouverture du fichier par la victime, l'attaquant laisse généralement un message demandant à l'utilisateur de permettre l'exécution de la macro. Bien que les utilisateurs ayant des connaissances techniques et en cybersécurité soient capables de reconnaître ce piège et de se faire quand même infecter par des logiciels malveillants, de nombreux utilisateurs quotidiens d'Office ignorent encore cette technique.
Ils finissent alors par suivre les instructions fournies, s'infectant eux-mêmes avec des logiciels malveillants. La gestion de ce problème a été une épine dans le pied de Microsoft, car les macros VBA sont souvent utilisées dans les entreprises pour automatiser certaines opérations et tâches lors de l'ouverture de certains fichiers, comme l'importation de données et la mise à jour du contenu du document à partir de sources dynamiques. Depuis le début des années 2000, Microsoft a tenté de résoudre ce problème en affichant un léger avertissement de sécurité sous la forme d'une barre d'outils en haut du document.
Mais en février, Microsoft a annoncé son intention de désactiver les macros par défaut en février pour empêcher les acteurs malveillant d'abuser de la fonctionnalité pour diffuser des logiciels malveillants via des pièces jointes aux e-mails.
Ce changement, réclamé depuis des années par les chercheurs en sécurité, est perçu comme une barrière sérieuse contre les acteurs malveillants du Web, qui incitent les utilisateurs à autoriser l'exécution d'une macro infectée afin d'installer des logiciels malveillants sur leurs systèmes.
Avec ce changement, lorsque des fichiers qui utilisent des macros seront téléchargés depuis Internet, ces macros seront désormais entièrement désactivées par défaut. Contrairement aux anciennes versions d'Office, qui affichent une bannière d'alerte sur laquelle il est possible de cliquer pour autoriser l'exécution des macros, la nouvelle version de la bannière ne propose aucun moyen de les activer.
L'industrie de la cybersécurité a donc applaudi la décision de bloquer les macros - et cela semblait fonctionner jusqu'à la décision de Microsoft d'y mettre une halte le mois dernier. ESET, par exemple, a observé une récente campagne de test Emotet qui a montré que les acteurs malveillant s'éloignaient déjà des attaques basées sur les macros en réponse au changement, remplaçant à la place les documents Microsoft Word par un fichier de raccourci comme pièce jointe malveillante.
La fonctionnalité de blocage de macro de Microsoft commencera bientôt à être déployée sur Access, Excel, PowerPoint, Visio et Word sous Windows. Le changement n'affectera pas Office pour les appareils Mac, Android ou iOS.
merci à Developpez.com