17:19 EDT, Microsoft’un değişikliğin geçici olduğuna ilişkin açıklamasını içerecek şekilde güncellendi.
Birkaç güvenlik uzmanı, Microsoft’un Şubat ayında Internet’teki dosyalarda Office makrolarını devre dışı bırakmak için açıkladığı bir kararın Çarşamba günü sessizce geri alınmasından bu hafta hayal kırıklığına uğradığını dile getirdi. Muhtemelen yanıt olarak, Microsoft Cuma günü, geri dönüşün yalnızca geçici olduğunu ve şirket kullanılabilirliği artırmak için bazı ek değişiklikler yaptığını açıkladı.
Kısa ve zar zor farkedilen bir Çarşamba günü Şubat duyurusu güncellemesinde, şirket başlangıçta müşterilerin bunu yapmasını istediği için adım attığını söyledi. “Geri bildirimlere dayanarak, biz bu değişikliği geri almak Current Channel’dan,” dedi Microsoft. “Şimdiye kadar aldığımız geri bildirimleri takdir ediyoruz ve bu deneyimde iyileştirmeler yapmak için çalışıyoruz.”
Cuma günü şirket, geri dönüşün kalıcı olmadığını netleştirmek için ifadeyi revize etti. Microsoft, “Bu geçici bir değişiklik ve tüm kullanıcılar için varsayılan değişikliği yapmaya tamamen kararlıyız” dedi. Güncelleme, İnternet makrolarını Grup İlkesi ayarı aracılığıyla engellemek isteyen kuruluşların kaydettiğini kaydetti.
Makrolar, kullanıcıların Word, PowerPoint ve Excel gibi Microsoft uygulamalarında sık tekrarlanan görevleri otomatikleştirmelerine olanak tanır. Ancak, aynı zamanda, kimlik avı e-postaları ve diğer yollarla Windows sistemlerine fidye yazılımı ve diğer kötü amaçlı yazılımları dağıtmak isteyen tehditler için uzun zamandır favori bir saldırı vektörü oldular. Göze çarpan bir örnek olarak: Ocak 2022’de, Microsoft’un makroların varsayılan olarak çalışmasını engelleme kararını duyurmasından hemen önce, bazıları Tüm tehditlerin %31’i Netskope’un engellediği silahlı Office dosyaları.
Vulcan Cyber’de kıdemli teknik mühendis olan Mike Parkin, “Microsoft Office’teki makrolar, başlangıcından bu yana karışık bir nimet olmuştur” diyor. “Kullanıcıların beğendiği ve sayısız yoldan yararlandığı birçok işlevsellik sağlasalar da, piyasaya sürüldüklerinden beri popüler bir saldırı vektörü oldular.”
Microsoft’un Şubat ayında bir saldırı vektörü olarak makrolar hakkında bir şeyler yaptıklarını duyurması, siber güvenlik alanındaki insanlar tarafından memnuniyetle karşılandı. Bu nedenle, şimdiki fikir değişikliği biraz hayal kırıklığı yaratıyor, diyor Parkin. “Microsoft, değişikliği neden geri aldıklarını henüz açıklamamış olsa da, bunun nedeni, kullanıcıların işlevselliğe bağımlı hale gelmeleri ve riske rağmen bunu sürdürmeyi tercih etmeleri muhtemel görünüyor.”
Bir Microsoft sözcüsü, yorum istendiğinde Dark Reading’i şirketin geri alma konusundaki güncellenmiş güncellemesine işaret etti.
Makro Tehdit
Microsoft, makroların oluşturduğu tehdidi not etti. Aslında, Nisan ayında şirket, Windows yöneticilerini Office makrolarının güvenli olduğundan emin olmaya çağırdı. çevrede engelli makro kötü amaçlı yazılımlara karşı korumak için. Şirket, saldırganların makroları kötüye kullanarak Windows sistemlerine dağıttığı birkaç fidye yazılımı ailesine dikkat çekti. Bu nedenle, Microsoft, Nisan 2022’den itibaren Office’te Internet’ten gelen makroların varsayılan olarak engelleneceğini duyurduğunda birçok güvenlik uzmanı coşkuyla tepki gösterdi.
Microsoft, Office 2203 sürümünden başlayarak, kullanıcıların artık bir düğmeyi tıklatarak İnternet’teki dosyalarda içerik makrolarını etkinleştiremeyeceklerini söylemişti. Bunun yerine, İnternet’ten bir indirmeyi veya eki açmaya çalıştıklarında bir mesaj, kullanıcıları dosyada VBA makrolarının varlığı konusunda uyaracak ve onları dosyayla ilişkili olası riskler hakkında daha fazla bilgi edinmeye yönlendirecektir.
Değişiklik, Office tabanlı saldırılarda gözle görülür bir düşüşe neden oldu. Netskope’a göre, şirketin bulut güvenlik platformu tarafından algılanan Office kötü amaçlı yazılım yüzdesi, Şubat 2022’den bu yana istikrarlı bir şekilde düştü ve son beş ayda %10’un altında kaldı – bir yıl önceki %35’e kıyasla.
Microsoft’un bu haftaki geri dönüşü, bir Office kötü amaçlı yazılımının yeniden canlanması, diyor Netskope Threat Labs direktörü Ray Canzanese. Canzanese, “Karardan dolayı hayal kırıklığına uğradık” diyor. “Kötü amaçlı Office belgeleri, arka kapıları, bilgi hırsızlarını ve fidye yazılımlarını yaymak için kullanılan saldırganlar için önemli bir sızma vektörüdür.”
Microsoft’un kararı, şirketin, tüm Office kullanıcıları için varsayılan olarak makroları devre dışı bırakmanın doğasında bulunan güvenlik yararları yerine, çok sesli bir müşteri azınlığının kullanılabilirlik endişelerine öncelik vermeye karar verdiğini gösteriyor. Canzanese, “Eski davranışı tercih eden kullanıcıların gelişmiş güvenlik önlemini devre dışı bırakması yerine, kullanıcıların ve yöneticilerin artık kaydolması gerekecek” diyor. “Bu geri dönüşle birlikte, Office belgelerinin saldırganlar arasında eski popülerliğini yeniden kazanmasını bekliyoruz.”
Arctic Wolf’un stratejiden sorumlu başkan yardımcısı Ian McShane, Office makrolarını varsayılan olarak devre dışı bırakmanın, rakipler için denenmiş ve test edilmiş bir saldırı yolunu güvence altına almada büyük bir adım olduğunu söylüyor. Makroları yeniden etkinleştirmek, Office kullanıcılarının bugün bir hafta öncesine göre daha az güvende oldukları anlamına geliyor. McShane, Microsoft’un makroları varsayılan olarak engellemeye devam etmesinin, bunu yapmak için kuruluşlara bırakmaktan daha iyi olacağını söylüyor. grup ilkesi ayarları aracılığıyla. Bunu yaparken sıklıkla yer alan birden fazla adım ve ayar kafa karıştırıcı olabilir, diyor.
Bunun yerine, makrolara ihtiyaç duyanların bunu grup ayarları aracılığıyla etkinleştirmesine izin vermek daha iyi bir yaklaşım olurdu. “Etkinlik güvenliği kimseye fayda sağlamaz ve tehlikelidir” diyor.