Le macro VBA (Visual Basic for Applications) nei documenti di Microsoft Office sono state a lungo sfruttate dagli autori di minacce per accedere a un sistema di destinazione e distribuire malware e ransomware. Se autorizzate ad essere eseguite automaticamente, le macro possono essere sfruttate per eseguire codice dannoso una volta aperto un documento MS. Anche quando Microsoft Office ha disabilitato l'esecuzione delle macro e ha visualizzato una barra di notifica che avvertiva gli utenti dei rischi per la sicurezza derivanti dall'esecuzione di tali macro, i malintenzionati hanno avuto a disposizione diversi scenari convincenti per indurre gli utenti a fare clic sul pulsante "Abilita macro". Per contrastare il malware basato sulle macro, Microsoft blocca per impostazione predefinita le macro di Office ottenute da Internet in cinque applicazioni di Office a partire dal 27 luglio 2022. Di conseguenza, gli utenti di Access, Excel, PowerPoint, Visio e Word non potranno attivare script macro all'interno di file non attendibili scaricati da Internet.
Questa restrizione è stata annunciata come una svolta per il settore della sicurezza informatica. Tuttavia, garantisce davvero la sicurezza degli utenti MS? La risposta è no. I criminali informatici sono abili nel trovare modi nuovi e innovativi per violare e infiltrarsi nei vostri sistemi.
Vettore di attacco VSTO
Un nuovo vettore di attacco emergente utilizzato dai criminali informatici come alternativa a VBA è Visual Studio Tools for Office (VSTO), che può esportare un componente aggiuntivo incorporato in un documento Office. Un file VSTO per Office consente agli aggressori di effettuare phishing nei confronti degli utenti e di eseguire codice dannoso da remoto tramite l'installazione dell'Add-In.
I documenti Office VSTO sono collegati a un'applicazione Visual Studio Office File, scritta con .NET. È in grado di contenere codice arbitrario che può essere utilizzato per scopi dannosi, proprio come VBA. I documenti VSTO Office possono contenere riferimenti e metadati per scaricare un file VSTO (un'applicazione .NET) da Internet una volta aperto il file.
Di seguito è riportata una demo registrata che mostra come un file VSTO Word scarica ed esegue un'applicazione dannosa sul computer della vittima.
Deep CDR (Content Disarm and Restructure) può disinnescare questo tipo di attacco informatico.
Con l'idea che ogni file rappresenti una potenziale minaccia, Deep CDR rileva e neutralizza tutti i componenti eseguibili sospetti incorporati nei file per garantire che tutti i file che entrano nella vostra organizzazione non siano dannosi. Questo è l'approccio più efficace per prevenire il malware evasivo avanzato e gli attacchi zero-day.
Guardate la demo qui sotto per vedere come il file Word VSTO dannoso è stato disattivato con OPSWAT MetaDefender utilizzando Deep CDR.
Per saperne di più sulla tecnologiaDeep CDR . Per scoprire come possiamo aiutarvi a fornire una protezione completa alla vostra organizzazione contro i documenti armati, parlate subito con uno specialista di OPSWAT .
Riferimento
Rendere il phishing di nuovo grande. I file office VSTO sono il nuovo incubo delle macro?
