Microsoft, Office Makroları Aracılığıyla Kötü Amaçlı Yazılım Dağıtımını Durdurmayı Planlıyor
Microsoft bugün, Nisan ayının başından itibaren çeşitli Microsoft Office uygulamalarında İnternet'ten indirilen VBA makrolarının etkinleştirilmesini zorlaştıracağını ve kötü amaçlı yazılımlar için popüler bir dağıtım yöntemini etkili bir şekilde ortadan kaldıracağını duyurdu.
Kötü amaçlı Office belgelerine gömülü VBA makrolarını kullanmak, Emotet, TrickBot, Qbot ve Dridex dahil olmak üzere çok çeşitli kötü amaçlı yazılım ailelerini kimlik avı saldırılarında zorlamak için çok popüler bir yöntemdir.
Microsoft Office Ürün Grubu bugün yaptığı açıklamada, "Bu değişiklik yalnızca Windows çalıştıran cihazlarda Office'i ve yalnızca şu uygulamaları etkiler: Access, Excel, PowerPoint, Visio ve Word" dedi.
"Değişiklik, 2022 Nisan'ının başlarında Mevcut Kanal (Önizleme) ile başlayarak Sürüm 2203'te uygulanmaya başlayacak."
Bu değişiklik kullanıma sunulduktan sonra, Office kullanıcıları otomatik olarak engellendikten sonra tek bir düğme tıklamasıyla makroları etkinleştiremeyecek.
Bu, çeşitli bilgi çalan truva atları ve fidye yazılımı çeteleri tarafından kullanılan kötü amaçlı araçlar da dahil olmak üzere kötü amaçlı Office belgeleri aracılığıyla ev ve kurumsal ağlara kötü amaçlı yazılım dağıtan saldırıları otomatik olarak engeller.
Şimdi, yeni otomatik engelleme varsayılanları yürürlüğe girene kadar, Office bir belgeyi açtığında, belgenin İnternet'ten indirildiği anlamına gelen "Web İşareti" (MoTW) ile etiketlenip etiketlenmediğini kontrol eder.
Bu etiket bulunursa, Microsoft belgeyi salt okunur modda açar ve kullanıcılar belgenin üst kısmında gösterilen 'Düzenlemeyi Etkinleştir' veya 'İçeriği Etkinleştir' düğmesini tıklamadıkça istismarı engeller.
Kullanıcıların MoTW'yi kaldırmasına izin veren bu düğmeleri kaldırarak ve varsayılan olarak güvenilmeyen kaynaklardan gelen makroları engelleyerek, çoğu kötü amaçlı belge artık yürütülmeyecek ve bu zayıflığı kötüye kullanan kötü amaçlı yazılım saldırıları durdurulacaktır.
"GÜVENLİK RİSKİ: Microsoft, bu dosyanın kaynağı güvenilir olmadığı için makroların çalışmasını engelledi", yeni uyarıyı okur.
Microsoft'a göre, bu önemli güvenlik iyileştirmesi, Geçerli Kanal, Aylık Kurumsal Kanal ve Yarı Yıllık Kurumsal Kanal gibi diğer Office güncelleme kanallarına daha sonraki bir tarihte sunulacak.
Bu güncelleştirme ayrıca Office LTSC, Office 2021, Office 2019, Office 2016 ve Office 2013 kullanıcılarına ileri bir tarihte iletilecektir.
Microsoft'un Office Platformu için Ortak Grubu Program Yöneticisi Tristan Davis, "Burada yaptığımız gibi, kullanıcıları sosyal mühendislik yoluyla kötü niyetli kod çalıştırmaları için kandırmayı zorlaştırırken, uygun olduğunda Güvenilir Yayıncılar aracılığıyla meşru makroların etkinleştirilmesi için bir yol sağlamak için makrolar için kullanıcı deneyimimizi ayarlamaya devam edeceğiz. /veya Güvenilir Konumlar," dedi.
Office güncellemesi çıktıktan ve İnternet'ten indirilen belgelerde tek tıklamayla etkinleştirilen makroları engelledikten sonra, belgelerin özelliklerine gidip sağ alttaki "Kilidi Aç" düğmesini işaretleyerek bunları etkinleştirebileceksiniz.
Makroların ardındaki güvenlik riski, kimlik avı ve kötü amaçlı yazılım saldırılarını engellemek için güvenli uygulamalar ve bunların güvenli olduğundan eminseniz bu makroların nasıl etkinleştirileceğine ilişkin yönergeler hakkında daha fazla bilgiyi bu destek sayfasında bulabilirsiniz.
Geçen ay Microsoft ayrıca, müşterileri kötü amaçlı yazılım bulaştırmak üzere tasarlanmış kötü amaçlı belgelerden korumak için Excel 4.0 (XLM) makrolarının varsayılan olarak devre dışı bırakılacağını söyledi.
Bu değişiklik ilk olarak Ekim ayında Redmond'un, kullanıcılar veya yöneticiler bu özelliği manuel olarak açıp kapatmadıkları takdirde tüm kiracılarda XLM makrolarını devre dışı bırakacağını ilk kez açıkladığı zaman duyuruldu.
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.
Haber bültenine kaydolduğunuz için teşekkürler!
Something went wrong.
