Overheidsinstantie NCSC heeft een waarschuwing afgegeven voor de terugkeer van macrovirussen, die macro's in Office-documenten gebruiken om zich te verspreiden en systemen te infecteren. Een macro bestaat uit een reeks geautomatiseerde opdrachten die de gebruiker kan aanroepen.
Ook kunnen macro’s automatisch worden uitgevoerd, bijvoorbeeld bij het openen of sluiten van een bepaald document. Macro's kunnen echter ook kwaadaardige code bevatten. Omdat Office toestaat dat systeembronnen worden aangeroepen is het gebruik van een macro een krachtige manier om het systeem van de gebruiker te infecteren.
Macrovirussen bestaan sinds het midden van de jaren ’90 en een bekend voorbeeld is het Melissa-virus, dat zich via een Word-document wist te verspreiden. Microsoft wijzigde hierop de standaardinstellingen van Office, zodat macro's standaard niet meer worden toegestaan. Veel thuisgebruikers zijn daardoor niet meer kwetsbaar voor malware in macro’s en grootschalige uitbraken van macrovirussen bleven dan ook uit.
Volgens het Nationaal Cyber Security Center (NCSC) vonden de afgelopen jaren enkele incidenten plaats waarbij macro’s werden ingezet bij gerichte aanvallen op individuele organisaties. Sommige organisaties maken namelijk wel gebruik van macro's en hebben de instellingen daarvoor aangepast, waardoor er een terugkeer van macrovirussen gaande is, zo laat het NCSC in een nieuwe factsheet weten.
Om besmetting met malware via macro’s te voorkomen geeft het NCSC verschillende tips. Zo moet het legitiem gebruik van macro's in de organisatie worden geïnventariseerd. Moeten vertrouwde bestandslocaties of digitale handtekeningen voor documenten met legitieme macro’s worden gebruikt en is het verstandig om de server voor inkomende e-mail te configureren om e-mails met macro's in bijlagen te stoppen.
Het NCSC stelt dat er genoeg voorbeelden van gerichte aanvallen op grote organisaties zijn, maar dat er in veel gevallen weinig details over de aanval worden vrijgegeven. Daardoor is het moeilijk om een goed beeld te krijgen van de omvang van dit specifieke probleem en de grootte van de daadwerkelijke dreiging.
"Toch is er een duidelijke reden om de macro-instellingen goed te zetten: wanneer een aanvaller op zoek is naar de zwakste schakel, dan zal die in de macro-kwetsbaarheid snel zijn gevonden."
Deze posting is gelocked. Reageren is niet meer mogelijk.