Les macros VBA (Visual Basic for Applications) dans les documents Microsoft Office sont depuis longtemps utilisées par les auteurs de menaces pour s'introduire dans un système cible et déployer des logiciels malveillants et des ransomwares. Si elles sont autorisées à s'exécuter automatiquement, les macros peuvent être utilisées pour exécuter un code malveillant dès l'ouverture d'un document Microsoft Office. Même lorsque Microsoft Office a désactivé l'exécution des macros et affiché une barre de notification avertissant les utilisateurs des risques de sécurité liés à l'exécution de ces macros, les acteurs malveillants ont eu recours à divers scénarios convaincants pour inciter les utilisateurs à cliquer sur le bouton "Enable Macro" (Activer la macro). Pour lutter contre les logiciels malveillants basés sur les macros, Microsoft bloque par défaut les macros Office obtenues sur internet dans cinq applications Office à partir du 27 juillet 2022. Ainsi, les utilisateurs d'Access, d'Excel, de PowerPoint, de Visio et de Word ne pourront pas activer de scripts macro dans des fichiers non fiables téléchargés sur internet.
Cette restriction a été annoncée comme changeant la donne pour le secteur de la cybersécurité. Cependant, assure-t-elle réellement la sécurité des utilisateurs d'ordinateurs portables ? La réponse est non. Les cybercriminels sont capables de trouver des moyens nouveaux et innovants de pirater et d'infiltrer vos systèmes.
Vecteur d'attaque VSTO
Visual Studio Tools for Office (VSTO) est un nouveau vecteur d'attaque utilisé par les cybercriminels comme alternative à VBA. Il permet d'exporter un module d'extension intégré dans un document Office. Un fichier Office VSTO permet aux attaquants d'hameçonner les utilisateurs et d'exécuter à distance un code malveillant via l'installation du complément.
Les documents Office VSTO sont liés à une application Visual Studio Office File, écrite avec .NET. Cette application peut contenir du code arbitraire pouvant être utilisé à des fins malveillantes, tout comme VBA. Les documents VSTO Office peuvent contenir des références et des métadonnées permettant de télécharger un fichier VSTO (une application .NET) depuis l'internet une fois que les utilisateurs ouvrent le fichier.
Vous trouverez ci-dessous une démonstration enregistrée montrant comment un fichier Word VSTO télécharge et exécute une application nuisible sur l'ordinateur de la victime.
La technologie Deep CDR™ (Content Disarm and Restructure) permet de neutraliser ce type de cyberattaque.
Partant du principe que chaque fichier représente une menace potentielle, la technologie Deep CDR™ détecte et neutralise tous les composants exécutables suspects intégrés dans les fichiers afin de garantir que tous les fichiers entrant dans votre organisation sont inoffensifs. Il s'agit de l'approche la plus efficace pour prévenir les logiciels malveillants avancés et les attaques zero-day.
Regardez la démonstration ci-dessous pour voir comment le fichier VSTO Word malveillant a été désactivé par OPSWAT MetaDefender à l'aide de la technologie Deep CDR™.
En savoir plus sur la technologie Deep CDR™. Pour découvrir comment nous pouvons aider votre organisation à bénéficier d'une protection complète contre les documents malveillants, contactez dès maintenant un OPSWAT .
Référence
Les macros provenant d'Internet sont bloquées par défaut dans Office - Deploy Office
