Microsoft introduit un système de blocage des macros dans Office afin de contrer les malwares

L’augmentation du nombres d’individus malintentionnés qui diffusent des malwares via des macros Microsoft Office confirme que ce vecteur d’infection n’a rien perdu de son efficacité. Les développeurs de Microsoft espèrent que la nouvelle option proposée par Office permettra de réduire ces attaques : la version 2016 introduit une option capable de bloquer les macros qui devront être évaluées par les administrateurs des réseaux d’entreprise.

Bien que les macros Office soient désactivées par défaut dans la majorité des réseaux, l’ingénierie sociale peut permettre à un individu malintentionné de convaincre la victime d’ouvrir le document piégé et d’activer la macro manuellement.

D’après un billet dans un blog de Microsoft, la possibilité de bloquer les macros a été introduite dans Word, Excel et Powerpoint. Elle peut être appliquée via des stratégies de groupe ou de manière individuelle. Cette option permet à l’administrateur d’évaluer l’ampleur de l’utilisation des macros afin de créer des flux de travail de confiance et de bloquer l’accès au contenu des macros quand le risque semble élevé. En cas de tentative d’exécution d’une macro dans un document Office, l’utilisateur voit un avertissement sur fond rouge qui lui indique que la fonction a été activée pour des raisons de sécurité.

« Ce mécanisme repose sur les informations relatives aux zones de sécurité que Windows utilise pour évaluer le niveau de confiance associé à un lieu précis » expliquent les développeurs dans le blog. « Ainsi, quand Windows estime que le fichier provient d’Internet, les macros du document seront désactivées. »

Microsoft est convaincue que cette nouveauté sera en mesure de protéger les organisations contre les pièces jointes malveillantes dans les messages en provenance de sources externes et contre les fichiers piégés hébergés sur des sites comme Dropbox et Google Drive ou dans des dossiers partagés.

Le développeur nous avait mis en garde contre les attaques exploitant des macros malveillantes au début de l’année dernière lorsqu’il avait annoncé que depuis le milieu du mois de décembre, le nombre de détections VBA avait atteint 8 000 cas par jour. Depuis ce moment jusqu’à aujourd’hui, cette technique est très souvent exploitée pour livrer les malwares les plus divers : le malware bancaire Dridex, le trojan BlackEnergy multifonction,, des bots de la catégorie Kasidet ou le ransomware Locky.

D’après les statistiques de Microsoft, à l’heure actuelle 98 % des menaces Internet qui visent les employés d’entreprise et les applications Office utilisent des macros.

image001

Dynamique des détections VBA d’après les données du service Office 365 Advanced Threat Protection sur les 3 derniers mois (source : Microsoft).

Suite à l’augmentation du nombre d’infections, les développeurs invitent les administrateurs réseau à utiliser sans plus attendre la fonction de blocage des macros et à désactiver tous les flux de travail qui proposent leur utilisation.

Fonte: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *