Es un momento desafiante en la seguridad del software; la migración a la nube moderna, el auge del trabajo remoto y una pandemia global que afecta la dotación de personal y las cadenas de suministro contribuyen a los cambios en las organizaciones. Desafortunadamente, estos cambios también suponen una oportunidad para los ciberdelincuentes para explotar estos escenarios.
Los ransomware, siguen siendo el principal ataque realizado a las empresas a nivel mundial y se estima que el 25% de los puntos de entrada de los grupos que despliegan ransomware es a través de macros de Office.
Es por ello por lo que microsoft ha decidido dejar de mostrar el famoso banner de «Habilitar macros» y va a bloquear todas las macros VBA obtenidas de internet mostrando al usuario la siguiente advertencia.
Este cambio afecta a las versiones de office que se ejecutan en Windows y a las aplicaciones Access, Excel, PowerPoint, Visio, y Word.
Para detectar los scripts no confiables, Windows añade un atributo llamado MOTW (Mark of the Web) cuando el script se descarga de un sitio no confiable.
El siguiente diagrama muestra cual es el flujo que realiza Office para permitir o no la ejecución de macros VBA.
Las organizaciones pueden usar la política «Bloquear macros para que no se ejecuten en archivos de Office desde Internet» para evitar que los usuarios abran sin darse cuenta archivos de Internet que contienen macros. Microsoft recomienda habilitar esta política y, si la habilita, su organización no se verá afectada por este cambio.
“Setting policy is a powerful tool for IT Admins to protect their organizations. For years we’ve recommended blocking macros obtained from the internet in our security baselines, and many customers have done so. I’m pleased Microsoft is taking the next step to securing everyone with this policy by default!”
– Hani Saliba, Partner Director of Engineering, Office Calc
Seguro que este cambio pone muy felices a los administradores de organizaciones y algo triste a los ciberdelincuentes que se dedicaban a explotar esta funcionalidad. Desde SecuriHub consideramos que es un cambio que lleva siendo necesario desde hace muchos años y que va a resultar en un gran paso hacia delante en la industria informática.
Por último, os adjuntamos la nota informativa oficial que ha realizado microsoft: