Η Microsoft πρόσθεσε την προστασία μακροεντολών XLM στους πελάτες του Microsoft 365, επεκτείνοντας την άμυνα χρόνου εκτέλεσης που παρέχεται από την ενοποίηση του Office 365 με το Antimalware Scan Interface (AMSI), για να συμπεριλάβει τη σάρωση μακροεντολών Excel 4.0 (XLM).
Το AMSI κυκλοφόρησε το 2015 και έχει υιοθετηθεί από όλα τα μεγάλα προϊόντα προστασίας από ιούς που διατίθενται για την πλατφόρμα Windows 10 από τότε.
Επιτρέπει στις υπηρεσίες και τις εφαρμογές των Windows 10, να επικοινωνούν με προϊόντα ασφαλείας και να ζητούν σάρωση χρόνου εκτέλεσης δυνητικά επικίνδυνων δεδομένων.
Αυτό βοηθά στην αποκάλυψη κακόβουλης πρόθεσης ακόμα και όταν είναι κρυμμένη, χρησιμοποιώντας βαριές συναρτήσεις και για τον εντοπισμό και τον αποκλεισμό κακόβουλων προγραμμάτων κατάχρησης μακροεντολών Office VBA και PowerShell, JScript, VBScript, MSHTA / Jscript9, WMI ή .NET, που χρησιμοποιούνται τακτικά για την ανάπτυξη ωφέλιμων φορτίων κακόβουλου λογισμικού μέσω μακροεντολών εγγράφων του Office.
Η Microsoft επέκτεινε για πρώτη φορά την υποστήριξη του Antimalware Scan Interface (AMSI) σε εφαρμογές πελατών του Office 365 το 2018 για να υπερασπιστεί τους πελάτες από επιθέσεις χρησιμοποιώντας μακροεντολές VBA.
“Η πρόσφατη οργάνωση AMSI στο XLM αντιμετωπίζει άμεσα την άνοδο των καμπανιών κακόβουλου λογισμικού που κάνουν κατάχρηση αυτής της δυνατότητας”, δήλωσε η Microsoft.
“Επειδή το AMSI είναι μια ανοιχτή διεπαφή, άλλες λύσεις προστασίας από ιούς μπορούν να αξιοποιήσουν την ίδια ορατότητα για τη βελτίωση της προστασίας από απειλές.”
Από τότε που το AMSI άρχισε να επιτρέπει στις εφαρμογές του Office 365 να αποκλείουν κακόβουλες μακροεντολές VBA, οι επιτιθέμενοι όπως αυτοί πίσω από τους Trickbot, Zloader και Ursnif έχουν μεταναστεύσει στη χρήση κακόβουλου λογισμικού που βασίζεται σε XLM για να αποφύγουν τη στατική ανάλυση και να μολύνουν τους στόχους τους με κακόβουλο λογισμικό.
“Ενώ είναι πιο στοιχειώδες από το VBA, το XLM είναι αρκετά ισχυρό για να παρέχει διαλειτουργικότητα με το λειτουργικό σύστημα και πολλοί οργανισμοί και χρήστες συνεχίζουν να χρησιμοποιούν τη λειτουργικότητά του για νόμιμους σκοπούς”, δήλωσε η Microsoft.
“Οι εγκληματίες στον κυβερνοχώρο το γνωρίζουν αυτό, και κάνουν κατάχρηση μακροεντολών XLM, όλο και πιο συχνά, για να καλέσουν Win32 APIs και να εκτελέσουν εντολές κελύφους.”
Με αυτήν την τελευταία βελτίωση στο Office 365, λύσεις προστασίας από ιούς όπως το Microsoft Defender Antivirus μπορούν να εντοπίσουν κακόβουλες μακροεντολές XLM και να σταματήσουν τη χρήση κακόβουλου λογισμικού στα ίχνη της.
Τους επιτρέπει επίσης να εντοπίζουν ένα ευρύτερο φάσμα κακόβουλου λογισμικού και να επιβάλλουν πιο λεπτομερείς περιορισμούς σχετικά με το τι επιτρέπεται να κάνουν οι μακροεντολές κατά το χρόνο εκτέλεσης.
“Η ορατότητα που παρέχεται από το AMSI οδηγεί σε σημαντικές βελτιώσεις στις γενικές και ανθεκτικές υπογραφές που μπορούν να σταματήσουν τα κύματα των ασαφών και μεταλλαγμένων παραλλαγών απειλών”, πρόσθεσε η Microsoft.
“Οι διαχειριστές μπορούν πλέον να χρησιμοποιήσουν τον υπάρχοντα έλεγχο πολιτικής εφαρμογών Microsoft 365 για να διαμορφώσουν όταν οι μακροεντολές XLM και VBA σαρώνονται κατά την εκτέλεση μέσω AMSI.”
Οι διαχειριστές μπορούν να κατεβάσουν τα πιο πρόσφατα αρχεία προτύπων πολιτικής ομάδας για εφαρμογές Microsoft 365 από το κέντρο λήψης του Microsoft 365.
[signoff]
