作为微软 Office 生产力套件的一个强大特性,宏(Macro)功能已不可避免地被攻击者所滥用。虽然该公司的态度有些摇摆,但在月初撤回之后,Microsoft Office 还是即将于本周迎来一项更新,以阻止在下载的文档上启用 VBA 宏文件。
上月,微软在测试新的默认设置时突然回撤。宣称暂时引入了一些额外的额更改,以增强可用性。
即便如此,还是有不少安全专家担心微软不给更改默认设置,结果导致系统容易受到攻击。
Google 威胁分析小组负责人 Shane Huntley 在 Twitter 上写道 —— 与其它方案相比,默认阻止 Office 宏的默认运行,可有效隔绝安全隐患。
文档标记示例
随着新默认设置的推出,微软也修改了一下措辞,以在用户尝试打开风险文件时给予提醒。
不过这项特性仅适用于 NTFS 文件系统 —— 需要 Windows 操作系统给从互联网下载的文件添加标记。
换言之,Mac、Android、iOS、以及 Web 版 Office 将暂缺,而被管理员标记为安全的网络驱动器或相关站点则不会受到影响。
弹出警告示例
微软表示:“根据客户调查反馈,我们正恢复在当前频道推出的这项更改,为最终用户和 IT 管理员提供了文档功能更新,以更清楚地说明在不同情况下会看到哪些选项”。
以 SharePoint 或网络共享上的文件为例,最终用户会看到“一个潜在危险的宏已被阻止”,而 IT 管理员则会看到“来自互联网的宏将在 Office 中被默认阻止”。
但若你曾启用、或禁止从互联网策略中阻止 Office 宏文件运行,则所在组织将不会受到本次变更的影响。
虽然游戏人依赖于脚本执行的自动任务,但多年来,黑客也一直在滥用宏功能 —— 诱骗受害者下载、运行、并破坏他们的系统。
微软显然深刻意识到了这一点,但直到 Office 2016 中的组策略设置,才为组织内的系统引入了屏蔽宏运行的选项。
遗憾的是,并不是每个客户都选择激活这一选项,结果导致攻击始终在持续,让黑客窃取了大量数据或分发勒索软件。