Les macros VBA (Visual Basic for Applications) dans les documents Microsoft Office sont depuis longtemps utilisées par les auteurs de menaces pour s'introduire dans un système cible et déployer des logiciels malveillants et des ransomwares. Si elles sont autorisées à s'exécuter automatiquement, les macros peuvent être utilisées pour exécuter un code malveillant dès l'ouverture d'un document Microsoft Office. Même lorsque Microsoft Office a désactivé l'exécution des macros et affiché une barre de notification avertissant les utilisateurs des risques de sécurité liés à l'exécution de ces macros, les acteurs malveillants ont eu recours à divers scénarios convaincants pour inciter les utilisateurs à cliquer sur le bouton "Enable Macro" (Activer la macro). Pour lutter contre les logiciels malveillants basés sur les macros, Microsoft bloque par défaut les macros Office obtenues sur internet dans cinq applications Office à partir du 27 juillet 2022. Ainsi, les utilisateurs d'Access, d'Excel, de PowerPoint, de Visio et de Word ne pourront pas activer de scripts macro dans des fichiers non fiables téléchargés sur internet.
Cette restriction a été annoncée comme changeant la donne pour le secteur de la cybersécurité. Cependant, assure-t-elle réellement la sécurité des utilisateurs d'ordinateurs portables ? La réponse est non. Les cybercriminels sont capables de trouver des moyens nouveaux et innovants de pirater et d'infiltrer vos systèmes.
Vecteur d'attaque VSTO
Visual Studio Tools for Office (VSTO) est un nouveau vecteur d'attaque utilisé par les cybercriminels comme alternative à VBA. Il permet d'exporter un module d'extension intégré dans un document Office. Un fichier Office VSTO permet aux attaquants d'hameçonner les utilisateurs et d'exécuter à distance un code malveillant via l'installation du complément.
Les documents Office VSTO sont liés à une application Visual Studio Office File, écrite avec .NET. Cette application peut contenir du code arbitraire pouvant être utilisé à des fins malveillantes, tout comme VBA. Les documents VSTO Office peuvent contenir des références et des métadonnées permettant de télécharger un fichier VSTO (une application .NET) depuis l'internet une fois que les utilisateurs ouvrent le fichier.
Vous trouverez ci-dessous une démonstration enregistrée montrant comment un fichier Word VSTO télécharge et exécute une application nuisible sur l'ordinateur de la victime.
Deep CDR (Content Disarm and Restructure) peut désamorcer ce type de cyberattaque.
Partant du principe que chaque fichier représente une menace potentielle, Deep CDR détecte et neutralise tous les composants exécutables suspects intégrés dans les fichiers afin de s'assurer que tous les fichiers entrant dans votre organisation ne sont pas nuisibles. C'est l'approche la plus efficace pour prévenir les logiciels malveillants évasifs avancés et les attaques de type "zero-day".
Regardez la démonstration ci-dessous pour voir comment le fichier Word VSTO malveillant a été désactivé en OPSWAT MetaDefender en utilisant Deep CDR.
En savoir plus sur la technologieDeep CDR . Pour savoir comment nous pouvons vous aider à fournir une protection complète à votre organisation contre les documents militarisés, contactez un spécialiste OPSWAT dès maintenant.
Référence
Les macros provenant d'Internet sont bloquées par défaut dans Office - Deploy Office
