Microsoft is begonnen met de uitrol van het standaard blokkeren van macro's in Office 365 en volgens securitybedrijf Proofpoint kiezen cybercriminelen in reactie hierop nu andere soorten bestanden om malware te verspreiden. De macro-blokkade zal op een later moment onder gebruikers van Office 2021, Office 2019, Office 2016 en Office 2013 worden uitgerold.
Veel grote ransomware-aanvallen, zoals die bij de Universiteit Maastricht, begonnen met een Office-document voorzien van een kwaadaardige macro. Om gebruikers te beschermen blokkeert Microsoft Office standaard het uitvoeren van macro's, maar gebruikers kunnen die met een enkele muisklik inschakelen. Vaak voegen aanvallers instructies voor het slachtoffer toe om macro's in te schakelen, bijvoorbeeld omdat dit nodig zou zijn om de inhoud van het document te bekijken.
Om deze aanvalsvector te beperken kwam Microsoft afgelopen april met een aanpassing zodat gebruikers macro's in documenten afkomstig van internet niet meer eenvoudig kunnen inschakelen. Office laat in dit geval een waarschuwing zien dat er sprake is van een beveiligingsrisico met een link naar een pagina die uitlegt waarom de macro is geblokkeerd. Gebruikers die macro's alsnog in het betreffende document willen inschakelen zullen hiervoor via de bestandseigenschappen verschillende stappen moeten doorlopen.
De feature werd in april doorgevoerd in een testversie van Office 365. Vanwege kritiek van gebruikers en organisaties besloot Microsoft begin deze maand de uitrol tijdelijk te staken, om die vervolgens weer te hervatten. Sinds gisteren is Microsoft begonnen om de beveiligingsmaatregel in de standaardversie van Office 365 uit te rollen. Dit proces zal enkele weken in beslag nemen, waardoor de maatregel niet meteen voor alle gebruikers zichtbaar is. Wanneer Office 2021, Office 2019, Office 2016 en Office 2013 volgen is onbekend.
Volgens securitybedrijf Proofpoint maken cybercriminelen in een reactie op de macro-blokkade veel minder gebruik van macro-malware. In plaats daarvan worden er andere soorten bestanden als bijlage meegestuurd, zoals RAR-, ISO- en LNK-bestanden. Het gebruik van dergelijke "containers" bij mailcampagnes nam met 175 procent toe, terwijl het gebruik van macro's met 66 procent daalde, aldus Proofpoint. Het securitybedrijf stelt dat het hier gaat om één van de grootste recente veranderingen in aanvalsvectoren via e-mail waarbij aanvallers steeds vaker containers zullen inzetten ten koste van macro's.
Deze posting is gelocked. Reageren is niet meer mogelijk.