在惡意office文檔中嵌入VBA宏是在釣魚攻擊中分發(fā)惡意軟件的一種非常主流的方式，包括Emotet、TrickBot、Qbot和 Dridex。

2月7日，微軟宣布將在4月開始將啟用從互聯(lián)網(wǎng)下載的VBA宏的方式變難，旨在應(yīng)對利用VBA宏來分發(fā)惡意軟件。這一變化將從2203版本開始應(yīng)用，只影響運(yùn)行在Windows 系統(tǒng)的設(shè)備上的office軟件，影響的應(yīng)用包括Word、Excel、PowerPoint、Visio和Access。

新版本應(yīng)用后，office用戶將在宏被自動攔截后無法通過簡單地點(diǎn)擊啟用宏按鈕的方式來啟用宏。這一變化可以有效應(yīng)對通過惡意office文檔在家用和企業(yè)網(wǎng)絡(luò)中傳播惡意軟件，包括不同的信息竊取木馬和其他惡意工具。

新版本應(yīng)用后，office在打開文檔時(shí)間，會實(shí)現(xiàn)檢查是否標(biāo)記了MoTW(Mark of the Web)，MoTW標(biāo)簽的目的是檢查文檔是否從互聯(lián)網(wǎng)下載的。如果發(fā)現(xiàn)了該標(biāo)簽，微軟就會以只讀模式打開文檔并攔截漏洞利用，除非用戶點(diǎn)擊啟用編輯或啟用內(nèi)容按鈕。

移除了這些按鈕后，用戶就可以移除MoTW，默認(rèn)攔截來自不可信源的宏，因此大部分惡意文檔就不會執(zhí)行了，實(shí)現(xiàn)了攔截惡意軟件攻擊的目的。

Office宏安全警告

微軟稱，該更新將推送到Office LTSC、Office 2021、Office 2019、Office 2016和 Office 2013用戶。此外，微軟將繼續(xù)調(diào)整用戶對宏的體驗(yàn)，使其更難通過社會工程技術(shù)誘使用戶運(yùn)行惡意代碼。

Office更新只會讓啟用宏變得更難，并不會完全禁用宏。啟用宏的方式為進(jìn)入文檔屬性并檢查右下方的解鎖按鈕。

解鎖對VBA宏的攔截

上月，微軟稱Excel 4.0 (XLM)宏將被默認(rèn)禁用，以保護(hù)用戶免受通過惡意文檔傳播的惡意軟件的影響。

本文翻譯自：https://www.bleepingcomputer.com/news/microsoft/microsoft-plans-to-kill-malware-delivery-via-office-macros/如若轉(zhuǎn)載，請注明原文地址。