image

Microsoft start met standaard blokkeren van macro's in Office 365

donderdag 28 juli 2022, 14:40 door Redactie, 3 reacties

Microsoft is begonnen met de uitrol van het standaard blokkeren van macro's in Office 365 en volgens securitybedrijf Proofpoint kiezen cybercriminelen in reactie hierop nu andere soorten bestanden om malware te verspreiden. De macro-blokkade zal op een later moment onder gebruikers van Office 2021, Office 2019, Office 2016 en Office 2013 worden uitgerold.

Veel grote ransomware-aanvallen, zoals die bij de Universiteit Maastricht, begonnen met een Office-document voorzien van een kwaadaardige macro. Om gebruikers te beschermen blokkeert Microsoft Office standaard het uitvoeren van macro's, maar gebruikers kunnen die met een enkele muisklik inschakelen. Vaak voegen aanvallers instructies voor het slachtoffer toe om macro's in te schakelen, bijvoorbeeld omdat dit nodig zou zijn om de inhoud van het document te bekijken.

Om deze aanvalsvector te beperken kwam Microsoft afgelopen april met een aanpassing zodat gebruikers macro's in documenten afkomstig van internet niet meer eenvoudig kunnen inschakelen. Office laat in dit geval een waarschuwing zien dat er sprake is van een beveiligingsrisico met een link naar een pagina die uitlegt waarom de macro is geblokkeerd. Gebruikers die macro's alsnog in het betreffende document willen inschakelen zullen hiervoor via de bestandseigenschappen verschillende stappen moeten doorlopen.

De feature werd in april doorgevoerd in een testversie van Office 365. Vanwege kritiek van gebruikers en organisaties besloot Microsoft begin deze maand de uitrol tijdelijk te staken, om die vervolgens weer te hervatten. Sinds gisteren is Microsoft begonnen om de beveiligingsmaatregel in de standaardversie van Office 365 uit te rollen. Dit proces zal enkele weken in beslag nemen, waardoor de maatregel niet meteen voor alle gebruikers zichtbaar is. Wanneer Office 2021, Office 2019, Office 2016 en Office 2013 volgen is onbekend.

Reactie cybercriminelen

Volgens securitybedrijf Proofpoint maken cybercriminelen in een reactie op de macro-blokkade veel minder gebruik van macro-malware. In plaats daarvan worden er andere soorten bestanden als bijlage meegestuurd, zoals RAR-, ISO- en LNK-bestanden. Het gebruik van dergelijke "containers" bij mailcampagnes nam met 175 procent toe, terwijl het gebruik van macro's met 66 procent daalde, aldus Proofpoint. Het securitybedrijf stelt dat het hier gaat om één van de grootste recente veranderingen in aanvalsvectoren via e-mail waarbij aanvallers steeds vaker containers zullen inzetten ten koste van macro's.

Image

Reacties (3)
28-07-2022, 15:36 door Erik van Straten
Volgens securitybedrijf Proofpoint maken cybercriminelen in een reactie op de macro-blokkade veel minder gebruik van macro-malware.
Minder is niet "geheel niet meer", en het kan om een dipje gaan.

Er zijn veel manieren voor aanvallers (deels via social engineering) om ervoor te zorgen dat een Office bestand (met één of meer kwaadaardige macro's) géén "MotW" (Mark of the Web) heeft op het moment dat het wordt geopend. En dan werkt deze maatregel van Microsoft niet, terwijl gebruikers (en beheerders) zich erdoor beschermd kunnen wanen.

Daarnaast vind ik het zeer onduidelijk wanneer deze maatregel precies ingaat per versie van Office. Uit deze bijdrage: [1] van een Microsoft medewerker leid ik af dat het voor Office 2019 Home & Business al gewerkt had moeten hebben, maar bij mij was dat niet zo (ik heb de EN-US versie op m'n PC). In de tabel [2], waar de MS-medewerker naar verwijst, staat dat de uitrol voor het "Current Channel" begint op 27 juli. Valt mijn software daaronder, en hoe lang na 27 juli kan het duren voordat dit ingaat?

En hoe groot is het risico dat, op Russische wijze [3], de uitrol toch weer wordt teruggedraaid na klachten van (cybercriminelen die zich voordoen als) belangrijke klanten?

[1] https://techcommunity.microsoft.com/t5/microsoft-365-blog/helping-users-stay-safe-blocking-internet-macros-by-default-in/bc-p/3275940/highlight/true#M3592

[2] https://docs.microsoft.com/en-us/deployoffice/security/internet-macros-blocked#versions-of-office-affected-by-this-change

[3] Gisteren: een hoge ruimtevaartpief bij Putin aan tafel: we stoppen met ISS in 2024. Vandaag: we gaan door minstens 2028 (https://tweakers.net/nieuws/199416/rusland-verlaat-iss-toch-pas-op-zijn-vroegst-in-2028.html).
28-07-2022, 19:40 door Anoniem
Door Erik van Straten:
Volgens securitybedrijf Proofpoint maken cybercriminelen in een reactie op de macro-blokkade veel minder gebruik van macro-malware.
Minder is niet "geheel niet meer", en het kan om een dipje gaan.

Er zijn veel manieren voor aanvallers (deels via social engineering) om ervoor te zorgen dat een Office bestand (met één of meer kwaadaardige macro's) géén "MotW" (Mark of the Web) heeft op het moment dat het wordt geopend. En dan werkt deze maatregel van Microsoft niet, terwijl gebruikers (en beheerders) zich erdoor beschermd kunnen wanen.

Daarnaast vind ik het zeer onduidelijk wanneer deze maatregel precies ingaat per versie van Office. Uit deze bijdrage: [1] van een Microsoft medewerker leid ik af dat het voor Office 2019 Home & Business al gewerkt had moeten hebben, maar bij mij was dat niet zo (ik heb de EN-US versie op m'n PC). In de tabel [2], waar de MS-medewerker naar verwijst, staat dat de uitrol voor het "Current Channel" begint op 27 juli. Valt mijn software daaronder, en hoe lang na 27 juli kan het duren voordat dit ingaat?

En hoe groot is het risico dat, op Russische wijze [3], de uitrol toch weer wordt teruggedraaid na klachten van (cybercriminelen die zich voordoen als) belangrijke klanten?

[1] https://techcommunity.microsoft.com/t5/microsoft-365-blog/helping-users-stay-safe-blocking-internet-macros-by-default-in/bc-p/3275940/highlight/true#M3592

[2] https://docs.microsoft.com/en-us/deployoffice/security/internet-macros-blocked#versions-of-office-affected-by-this-change

[3] Gisteren: een hoge ruimtevaartpief bij Putin aan tafel: we stoppen met ISS in 2024. Vandaag: we gaan door minstens 2028 (https://tweakers.net/nieuws/199416/rusland-verlaat-iss-toch-pas-op-zijn-vroegst-in-2028.html).

Die post waar je naar verwijst [1] is verwarrend, want het klopt niet wat daar staat.
In het artikel staat het wel helder:

This change only affects Office on devices running Windows and only affects the following applications: Access, Excel, PowerPoint, Visio, and Word. The change will begin rolling out in Version 2203, starting with Current Channel (Preview) in early April 2022. Later, the change will be available in the other update channels, such as Current Channel, Monthly Enterprise Channel, and Semi-Annual Enterprise Channel.

At a future date to be determined, we also plan to make this change to Office LTSC, Office 2021, Office 2019, Office 2016, and Office 2013.


Samenvattend:
-Op dit moment is de wijziging nog alleen voor Office 365 (Microsoft 365 Apps).
-Wijziging is alleen zichtbaar wanneer Office 365 in de "Current Channel" zit, dus in een ander update kanaal heb je het nog niet, zoals de Semi Annual Channel.
-De wijziging komt later voor de "statische" versies van Office zoals Office 2016/2019, dus het klopt dat jij het nog ziet.
28-07-2022, 23:49 door Erik van Straten
Door Anoniem: Die post waar je naar verwijst [1] is verwarrend, want het klopt niet wat daar staat.
Waarom staat daar dan geen correctie onder?

Door Anoniem: In het artikel staat het wel helder:

This change only affects Office on devices running Windows and only affects the following applications: Access, Excel, PowerPoint, Visio, and Word. The change will begin rolling out in Version 2203, starting with Current Channel (Preview) in early April 2022. Later, the change will be available in the other update channels, such as Current Channel, Monthly Enterprise Channel, and Semi-Annual Enterprise Channel.

At a future date to be determined, we also plan to make this change to Office LTSC, Office 2021, Office 2019, Office 2016, and Office 2013.
Los van dat je het dus maar moet afwachten wanneer je aan de beurt bent (waar je heus geen bericht van krijgt): als je er dieper in zit, is dat helemaal niet helder.

Er zijn namelijk meerdere soorten Office 20xx, van bijv. Office 2019 heb je o.a. "Home and Business" maar ook Professional en "Volume licensed" versies. De binaries in "Home and Business" zijn hoogstwaarschijnlijk identiek aan de binaries in de duurdere versies, en ondersteunen in principe gewoon group policies voor Office. Echter, in de "goedkopere", niet volume licensed versies, wordt die group policy support de nek omgedraaid (had je maar een duurdere versie moeten kopen). Probleem: bijna niemand weet dat en Microsoft doet er bewust geheimzinnig over.

Pas als je Office ADMX files wil downloaden en kijkt naar de ondersteunde Office versies (onder "System Requirements") valt de tweedeling op, zie https://www.microsoft.com/en-us/download/details.aspx?id=49030.

Alsof het MKB geen policies nodig zou hebben (als beveiligingsmaatregel). En inderdaad zal waarschijnlijk een groot deel van dat type gebruikers daar nooit iets mee doen. Juist daarom begrijp ik niet waarom de uitvoering geblokkeerd wordt (ik weet dat het kan werken, want kort na de reboot na sommige updates werken policies in Office 2019 Home & Business wel heel even).

Nu zou je kunnen denken: wat heeft de Microsoft actie van dit jaar met policies te maken? In https://techcommunity.microsoft.com/t5/microsoft-365-blog/helping-users-stay-safe-blocking-internet-macros-by-default-in/bc-p/3566717 staat ook:
If you ever enabled or disabled the Block macros from running in Office files from the Internet policy, your organization will not be affected by this change.
Het heeft er dus alle schijn van dat Microsoft die specifieke policy [4] in haar updates op "enabled" zet (tenzij deze expliciet disabled is). Probleem: die policy wordt niet uitgevoerd in de "goedkopere" Office versies. En niet iedereen bij Microsoft weet dat (het is ook niet logisch als je Windows 10 professional gebruikt: dat ondersteunt wel policies; de Home versie niet. Maar bij "Office Home and Business" denk ik ook aan professioneel gebruik, en verwacht ik dat policies werken).

[4] https://www.bleepingcomputer.com/news/microsoft/how-to-auto-block-macros-in-microsoft-office-docs-from-the-internet/

Achtergrond: jaren geleden heb ik "Office 2016 Home and Business" gekocht. Aanvankelijk werkten group policies daarin gewoon. Later had ik voor een klus Visio nodig, en heb toen Visio 2019 gekocht. Dat werkte niet samen met Office 2016, waardoor ik heb moeten upgraden naar Office 2019 Home and Business. Vervolgens ontdekte ik, tijdens tests, toevallig dat policies niet meer werkten, en heb daarover met Microsoft gemaild. Antwoord (na meerdere mails en lang wachten): dat policies in Office 2016 aanvankelijk werkten, was niet de bedoeling (een "bug"). Later is dit met een update uitgezet.

Microsoft zaagt dus stilletjes de poten onder mijn stoel vandaan. Wellicht dat dit mijn argwaan jegens Microsoft verduidelijkt.

Kortom, het zou mij verrassen en verbazen als deze wijziging effect gaat hebben op de minder kostende ("goedkopere" is niet het juiste woord) versies van Office. En dat een deel van de Microsoft medewerkers (waaronder in [1]) niet weet dat (en geen reden heeft om aan te nemen dat) Microsoft de uitvoering van policies in minder kostende Office versies saboteert. Affijn, we gaan het zien - maar zelfs als alles meezit op dit punt, verwacht ik niet dat we van macro-malware verlost zijn, gezien de onbetrouwbaarheid of een MotW gezet wordt of niet.

Een kort overzicht (met veel links) van het gedoe met MotW en uitvoeren van macro's schreef ik eerder deze maand in https://tweakers.net/nieuws/198960/microsoft-gaat-vba-macros-in-office-toch-blokkeren-na-gebruikerskritiek.html?showReaction=17712298#r_17712298.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.