微软将恢复推行宏安全功能

关键要点

• 微软暂停了默认阻止来自互联网的文档中的VBA宏的安全功能。
• 该功能计划于7月27日开始向普通用户推出。
• 此次更新将要求对从互联网下载的文件进行额外审查，以确保用户可以处理宏。
• 小型企业对此表示担忧，认为这可能会影响工作流程。
• 恶意软件犯罪组织已开始调整策略，以应对宏被削弱的威胁。

三周前，微软宣布将暂停推广一个备受安全专家喜欢但被小型企业担忧的新安全功能：默认阻止来自互联网的所有文档中的VBA宏。这一暂停如今结束。

上周发布的一篇博客文章中提到，计划于7月27日开始向普通用户推出这一功能。

VBA宏为Excel等程序提供了额外的编程功能。然而，在看似无害的文档打开时运行的代码被证明是危险的。自1995年Concept恶意软件以来，宏一直是攻击者的主要攻击向量。

Red Canary的首席安全专家Brian Donohue通过电子邮件告诉SCMedia：“从任何指标来看，电子邮件仍然是敌对方用于初始访问的主要途径，导致各种形式的破坏性网络攻击。”

微软的更新将为从互联网下载的文档添加标签，提供额外的用户审查，以便在运行宏之前让用户进行检视。当打开这样的文件时，微软将在页面顶部放置一个红色横幅，说明宏已被阻止，并附有一篇文章的链接，解释为什么宏是危险的，以及如果用户认为文件安全，如何重新启用宏。

一些企业，特别是小型企业，担心这一措施可能会干扰工作流程，且未给企业足够的时间来适应。

微软在其最新博客中写道：“您需要识别那些宏，并确定采取哪些步骤以继续使用这些宏。您还需要与提供宏的独立软件供应商（ISVs）合作，了解他们是否可以对其代码进行数字签名，以便您可以将他们视为可信的发布者。”

有证据表明，即使只是宏作为攻击向量的有效性下降，也迫使犯罪组织进行调整。

“Emotet已经使用恶意宏文档数十年了，但最近我们看到威胁行为者改变了策略，开始使用更多的容器、.LNK文件、压缩文件等，”
Proofpoint的威胁研究和检测副总裁SherrodDeGrippo在暂停宣布时指出。“这绝对容易推测，这是对微软最初决定的反应。因此，不仅早期决定关闭宏被广泛庆祝，且被视为积极措施，它实际上确实影响了行为。”