作為微軟 Office 生產力套件的一個強大特性,宏(Macro)功能已不可避免地被攻擊者所濫用。雖然該公司的態度有些搖擺,但在月初撤回之後,Microsoft Office 還是即將於本周迎來一項更新,以阻止在下載的文檔上啟用 VBA 宏文件。
上月,微軟在測試新的默認設置時突然回撤。宣稱暫時引入了一些額外的額更改,以增強可用性。
即便如此,還是有不少安全專家擔心微軟不給更改默認設置,結果導致系統容易受到攻擊。
Google 威脅分析小組負責人 Shane Huntley 在 Twitter 上寫道 —— 與其它方案相比,默認阻止 Office 宏的默認運行,可有效隔絕安全隱患。
文檔標記示例
隨着新默認設置的推出,微軟也修改了一下措辭,以在用戶嘗試打開風險文件時給予提醒。
不過這項特性僅適用於 NTFS 文件系統 —— 需要 Windows 操作系統給從互聯網下載的文件添加標記。
換言之,Mac、Android、iOS、以及 Web 版 Office 將暫缺,而被管理員標記為安全的網絡驅動器或相關站點則不會受到影響。
彈出警告示例
微軟表示:“根據客戶調查反饋,我們正恢復在當前頻道推出的這項更改,為最終用戶和 IT 管理員提供了文檔功能更新,以更清楚地說明在不同情況下會看到哪些選項”。
以 SharePoint 或網絡共享上的文件為例,最終用戶會看到“一個潛在危險的宏已被阻止”,而 IT 管理員則會看到“來自互聯網的宏將在 Office 中被默認阻止”。
但若你曾啟用、或禁止從互聯網策略中阻止 Office 宏文件運行,則所在組織將不會受到本次變更的影響。
雖然遊戲人依賴於腳本執行的自動任務,但多年來,黑客也一直在濫用宏功能 —— 誘騙受害者下載、運行、並破壞他們的系統。
微軟顯然深刻意識到了這一點,但直到 Office 2016 中的組策略設置,才為組織內的系統引入了屏蔽宏運行的選項。
遺憾的是,並不是每個客戶都選擇激活這一選項,結果導致攻擊始終在持續,讓黑客竊取了大量數據或分發勒索軟件。