Office-Supportende: Makro-Desaster verhindern
即将到来的支持终止与宏风险
Office宏的安全威胁
宏可为特定业务流程增值,但也可能造成危害。它们可分为六类:
- 恶意代码:宏可包含脚本(通常用VBA编写),在文档打开时自动执行。攻击者嵌入代码旨在窃取数据、破坏文件或控制系统。
- 恶意软件:恶意宏是恶意软件(包括勒索软件)的常见载体。一旦执行,有害软件会迅速扩散到其他文档、模板和系统。
- 控制绕过:攻击者利用宏绕过安全机制,获取对系统和网络的未授权访问,可能开启数据盗窃或间谍活动。
- 社会工程:恶意宏常通过网络钓鱼邮件传播,诱使用户启用宏,因为他们认为附件文档可信。
- 无文件攻击:一些基于宏的威胁完全在内存中执行,传统防病毒软件难以检测。
- 内部威胁:即使可信用户也可能(意外)传播恶意宏,通过共享文档或使用未验证来源的代码。
IT团队应配置Windows和Office以保护用户免受恶意宏侵害。依赖宏的企业应考虑攻击面减少(ASR)或更现代的自动化替代方案(如Power Automate或Microsoft Graph)。LibreOffice存在类似风险,甚至更多,因为最终用户不像微软Office产品那样受到来自互联网的非信任文件内置宏的警告。
宏安全措施
Windows攻击面减少
实施ASR规则可减轻大多数恶意宏的影响。如果企业已完全禁用宏,则不需要ASR。否则,务必确保:
- 阻止所有Office应用程序启动子进程。
- 阻止潜在混淆脚本。
- 在下载可执行文件时阻止JavaScript或VBScript。
- 阻止Office应用程序创建可执行内容。
- 阻止Office宏调用Win32 API。
- 启用高级勒索软件保护。
macOS恶意宏禁用
macOS版Office也提供工具以更好地防护恶意宏。例如,苹果操作系统使用内置沙箱限制潜在恶意文档可能造成的损害。但这并非高枕无忧的理由,因为犯罪黑客也知道企业网络日益包含Windows和Mac设备。因此,建议在Mac平台上利用所有可用保护措施,特别是:
- 禁用VBA对象模型。
- 禁用Visual Basic系统绑定。
- 禁用Visual Basic库绑定。
- 禁用Visual Basic管道绑定。
- 禁用调用AppleScript的Visual Basic。