Microsoft Office belgelerindeki VBA (Visual Basic for Applications) makroları, hedef sisteme giriş yapmak ve kötü amaçlı yazılım ve fidye yazılımı dağıtmak için tehdit yazarları tarafından uzun süredir kötüye kullanılmaktadır. Otomatik olarak çalışmasına izin verilirse, bir MS belgesi açıldığında kötü amaçlı kod çalıştırmak için makrolardan yararlanılabilir. Microsoft Office makroların çalışmasını devre dışı bıraktığında ve kullanıcıları bu makroları çalıştırmanın güvenlik riskleri konusunda uyaran bir bildirim çubuğu görüntülediğinde bile, kötü aktörler kullanıcıları "Makroyu Etkinleştir" düğmesine tıklamaları için kandırmak için çeşitli ikna edici senaryolara sahipti. Makro tabanlı kötü amaçlı yazılımlarla mücadeleye yardımcı olmak için Microsoft, 27 Temmuz 2022'den itibaren beş Office uygulamasında internetten elde edilen Office makrolarını varsayılan olarak engelliyor. Sonuç olarak, Access, Excel, PowerPoint, Visio ve Word kullanıcıları internetten indirilen güvenilmeyen dosyaların içindeki makro komut dosyalarını etkinleştiremez.
Bu kısıtlama, siber güvenlik endüstrisi için ezber bozan bir gelişme olarak müjdelendi. Ancak, MS kullanıcıları için gerçekten güvenlik sağlıyor mu? Cevap hayır. Siber suçlular sistemlerinizi hacklemek ve sistemlerinize sızmak için yeni ve yenilikçi yollar bulmakta ustadır.
VSTO saldırı vektörü
Siber suçlular tarafından VBA'ya alternatif olarak kullanılan yeni bir saldırı vektörü, bir Office belgesinin içine gömülü bir Eklentiyi dışa aktarabilen Visual Studio Tools for Office'tir (VSTO). Bir VSTO Office dosyası, saldırganların kullanıcıları kimlik avına çıkarmasına ve Eklentinin yüklenmesi yoluyla kötü amaçlı kodu uzaktan yürütmesine olanak tanır.
VSTO Office belgeleri, .NET ile yazılmış bir Visual Studio Office File uygulamasına bağlanır. Tıpkı VBA gibi kötü niyetli amaçlar için kullanılabilecek rastgele kod içerebilir. VSTO Office belgeleri, kullanıcılar dosyayı açtığında İnternet'ten bir VSTO dosyası (bir .NET uygulaması) indirmek için referanslar ve meta veriler içerebilir.
Aşağıda, bir VSTO Word dosyasının kurbanın makinesinde zararlı bir uygulamayı nasıl indirdiğini ve çalıştırdığını gösteren kaydedilmiş demomuz bulunmaktadır.
Deep CDR (Content Disarm and Restructure) teknolojisi bu tür siber saldırıları etkisiz hale getirebilir
Her dosyanın potansiyel bir tehdit oluşturduğu düşüncesiyle Deep CDR , kuruluşunuza gelen tüm dosyaların zararlı olmadığından emin olmak için dosyalara gömülü tüm şüpheli yürütülebilir bileşenleri tespit eder ve etkisiz hale getirir. Bu, gelişmiş kaçamak kötü amaçlı yazılımları ve sıfırıncı gün saldırılarını önlemek için en etkili yaklaşımdır.
Kötü amaçlı VSTO Word dosyasının aşağıdakiler tarafından nasıl devre dışı bırakıldığını görmek için aşağıdaki demoyu izleyin OPSWAT MetaDefenderDeep CDR adresini kullanarak.
Deep CDR teknolojisi hakkında daha fazla bilgi edinin. Kuruluşunuza silah haline getirilmiş belgelere karşı kapsamlı koruma sağlamaya nasıl yardımcı olabileceğimizi görmek için hemen bir OPSWAT uzmanıyla görüşün.
Referans
Office - Deploy Office'te internetten gelen makrolar varsayılan olarak engellenir
Kimlik avını yeniden harika hale getirin. VSTO ofis dosyaları yeni makro kabusu mu?
