Office-Supportende: Makro-Desaster verhindern
即将到来的支持终止与宏安全挑战
Windows 10生命周期结束已经让企业IT团队忙碌不已,但还有更多关键的Microsoft产品终止支持日期需要IT和安全团队关注。今年10月,Office 2016和2019以及Exchange 2016和2019的支持都将结束。与任何迁移一样,必须系统地测试转换的影响以确定业务后果。通常,流程、宏和其他自动化方法会迫使企业暂时停留在旧平台上。即使是决定离开Microsoft生态系统(例如转向开源Office平台)的用户,也必须为迁移问题做好准备——特别是与宏相关的问题。
Office宏的安全风险
宏可以为特定业务流程提供附加价值,但也可能产生有害影响。它们可分为六类:
-
恶意代码:宏可以包含脚本(通常用Visual Basic for Applications编写),这些脚本在文档打开时自动执行。将代码嵌入宏的攻击者主要目的是窃取数据、损坏文件或获取系统控制权。
-
恶意软件:恶意宏是恶意软件(包括勒索软件)的常见传播载体。一旦执行,有害软件会迅速扩展到更多文档、模板和系统。
-
控制绕过:攻击者还利用宏绕过安全机制,从而获得对系统和网络的未授权访问。这可能为数据盗窃或间谍活动打开大门。
-
社会工程:有害宏通常通过网络钓鱼电子邮件传播。目标是诱使用户激活宏,因为他们认为附加文档值得信任。
-
无文件攻击:一些基于宏的威胁完全在内存中执行,因此传统防病毒软件难以检测。
-
内部威胁:即使是受信任的用户也可能(可能意外地)通过共享文档或使用来自未验证来源的代码来传播恶意宏。
IT团队应相应配置Windows和Office,以保护用户免受恶意宏的侵害。因工作流程需要依赖宏的企业应处理攻击面缩减(ASR)主题(见下一节)——或考虑更现代的自动化替代方案,如Power Automate或Microsoft Graph。
顺便提一下,LibreOffice具有非常相似的风险,可能还有更多风险。因为最终用户不会像Microsoft Office产品那样收到关于通过互联网接收的包含嵌入式宏的不受信任文件的相同级别警告。
宏安全措施
Windows下的攻击面缩减
实施ASR规则可以减轻绝大多数恶意宏的影响。如果您在企业中完全禁用宏,则不需要ASR。如果没有,请务必确保:
- 阻止所有Office应用程序启动子进程
- 阻止潜在混淆的脚本
- 在下载的可执行文件启动时阻止JavaScript或VBScript
- 阻止Office应用程序创建可执行内容
- 阻止Office宏调用Win32 API
- 启用高级勒索软件保护
macOS下的恶意宏防护
macOS上的Office也提供了旨在更好地防范恶意宏的工具。例如,Apple操作系统使用内置沙箱来限制潜在恶意文档可能造成的损害。但这并不是自满的理由。毕竟,犯罪黑客也知道企业网络越来越多地由Windows和Mac设备组成。因此,建议在Mac平台上使用所有可用的保护选项。
特别应该:
- 禁用VBA对象模型
- 禁用Visual Basic系统绑定
- 禁用Visual Basic库绑定
- 禁用Visual Basic管道绑定
- 禁用调用AppleScript的Visual Basic