Le macro VBA (Visual Basic for Applications) nei documenti di Microsoft Office sono state a lungo sfruttate dagli autori di minacce per accedere a un sistema di destinazione e distribuire malware e ransomware. Se autorizzate ad essere eseguite automaticamente, le macro possono essere sfruttate per eseguire codice dannoso una volta aperto un documento MS. Anche quando Microsoft Office ha disabilitato l'esecuzione delle macro e ha visualizzato una barra di notifica che avvertiva gli utenti dei rischi per la sicurezza derivanti dall'esecuzione di tali macro, i malintenzionati hanno avuto a disposizione diversi scenari convincenti per indurre gli utenti a fare clic sul pulsante "Abilita macro". Per contrastare il malware basato sulle macro, Microsoft blocca per impostazione predefinita le macro di Office ottenute da Internet in cinque applicazioni di Office a partire dal 27 luglio 2022. Di conseguenza, gli utenti di Access, Excel, PowerPoint, Visio e Word non potranno attivare script macro all'interno di file non attendibili scaricati da Internet.
Questa restrizione è stata annunciata come una svolta per il settore della sicurezza informatica. Tuttavia, garantisce davvero la sicurezza degli utenti MS? La risposta è no. I criminali informatici sono abili nel trovare modi nuovi e innovativi per violare e infiltrarsi nei vostri sistemi.
Vettore di attacco VSTO
Un nuovo vettore di attacco emergente utilizzato dai criminali informatici come alternativa a VBA è Visual Studio Tools for Office (VSTO), che può esportare un componente aggiuntivo incorporato in un documento Office. Un file VSTO per Office consente agli aggressori di effettuare phishing nei confronti degli utenti e di eseguire codice dannoso da remoto tramite l'installazione dell'Add-In.
I documenti Office VSTO sono collegati a un'applicazione Visual Studio Office File, scritta con .NET. È in grado di contenere codice arbitrario che può essere utilizzato per scopi dannosi, proprio come VBA. I documenti VSTO Office possono contenere riferimenti e metadati per scaricare un file VSTO (un'applicazione .NET) da Internet una volta aperto il file.
Di seguito è riportata una demo registrata che mostra come un file VSTO Word scarica ed esegue un'applicazione dannosa sul computer della vittima.
La tecnologia Deep CDR™ (Content Disarm and Restructure) è in grado di neutralizzare questo tipo di attacco informatico
Partendo dal presupposto che ogni file rappresenti una potenziale minaccia, la tecnologia Deep CDR™ rileva e neutralizza tutti i componenti eseguibili sospetti incorporati nei file, garantendo che tutti i file che entrano nella vostra organizzazione siano innocui. Si tratta dell'approccio più efficace per prevenire il malware evasivo avanzato e gli attacchi zero-day.
Guarda il video dimostrativo qui sotto per vedere come il file VSTO di Word dannoso è stato disattivato da OPSWAT MetaDefender utilizzando la tecnologia Deep CDR™.
Scopri di più sulla tecnologia Deep CDR™. Per scoprire come possiamo aiutarti a garantire alla tua organizzazione una protezione completa contro i documenti dannosi, contatta subito uno OPSWAT .
Riferimento
Rendere il phishing di nuovo grande. I file office VSTO sono il nuovo incubo delle macro?
