Macro的回歸

Microsoft取消了原定預設封鎖Macro的決定,通過加入勁意指令的macro文件是傳播惡意程式的最常見手法,而首當其衝就是Microsoft Office的檔案,以下將會看看Microsoft今次的決定,在網絡安全層面對公司帶來的影響。

為甚麼Macro危險?

Microsoft Office的用戶經常用到不同的自動程序,大家可以透過編寫特定算法或動作序列,這就是Macro,例如會計每個月需要遞交標準的報告,為了節省時間,他們可以創建Macro自動以粗體字突顯客戶名稱的行或列。

Macro是由VBA (Visual Basic for Applications)所創建,是較為簡化的編程詞言,而攻擊者也經常利用Macro去達到他們的目的。值得注意的是,並非所有員工都熟識Macro,相反是對Office套件有較深入認識者才會較為熟識,甚至有些人沒有察覺到Macro的存在,而另一邊廂,網絡犯罪份子就利用Macro去處理惡意的指令。

惡意Macro如何運作

典型對機構的攻擊由對員工發送大量惡意電郵開始,這些信件可能看似工作邀請、公司新聞、承辦商發票、競爭對手資料等等,精密程度的等級根據攻擊者的想像力而異,他們的最主要目標是讓收件人打開附件檔案,或由提供的連結點擊下載文件並且打開。

網絡犯罪份子只希望惡意Macro檔案被執行,在很久以前,嵌入式Macro可以自動執行,但Microsoft現在限制了這項功能,改為每當開啟從網上下載的檔案,都會通知用戶Macro已經被關閉。看似問題解決,但很多用戶不加思索便點擊Enable Content,這意味著同意讓Macro自動執行,也等同對惡意程式打開大門,這是攻擊者如何能夠經常存取目標公司基礎設施,不過員工毫不考慮便點擊Enable Content按鍵這個問題可能更加嚴重。

到最後,Microsoft決定不給予用戶選擇,預設封鎖下載檔案的Macro,整個資安社群都對此新聞十分歡迎,並且在今年4月實施,取而代之是用戶會見到安全警告,可惜快樂的時間特別短暫,這個改動很快又被回塑到更改之前。

防範惡意Macro

大企業的IT管理員經常會在安全措施層面關閉Macro,如果你的工作流程無需要使用Macro,這絕對是一個好選擇,如果有人企圖打開含有Macro的文件,便會看到不同的警告。如果因為某些理由無法採取相同措施,直至Microsoft從新在預設封鎖Macro之前,我們建議對所有公司員工培訓基礎的網絡保安知識,當中包括:

  • 永遠不要下載和打開非預期中的檔案,即使顯示由你信任的人或公司所寄出,也有可能是來自騙徒之手。
  • 不要盲目對下載的檔案按下Enable Content按鍵,觀看正常內容並不需要此舉。
  • 如果有人在電郵或網站要求Enable Content,便要特別小心。

資料來源:Kaspersky Blog