ASMI futásidejű keresési forrás - Microsoft
A Microsoft bejelentette, hogy az Office 365 alkalmazások mostantól támogatják az Anti-Malware Scan Interface (AMSI) megoldást, amely lehetővé teszi a víruskereső programok számára a rosszindulatú makrók blokkolását, amelyek jelentős fenyegetést jelentettek a Microsoft Office programcsomag bármelyik programjának felhasználói számára.
A makró olyan szabályok vagy utasítások sorozata, amelyeket ugyanazon parancs alatt csoportosítanak egy feladat automatikus elvégzéséhez. Például létrehozhat egy makrót a szöveges dokumentum formátumának megváltoztatásához vagy a mappában található összes dokumentum automatikus kinyomtatásához.
Bár hasznosak lehetnek a műveletek automatizálásában és az időmegtakarításban, nagyon veszélyesek is lehetnek, mivel a számítógépes támadók makrókkal kártékony kódokat injektálhatnak, és rosszindulatú programokat telepíthetnek az áldozatok számítógépeire.
A makroszintű támadások megalapozzák a támadókat a rosszindulatú programok elindítására. A Microsoft szerint ezt a módszert évtizedek óta használják, de az utóbbi években kiemelkedően megjelent. A VBA makrókat használó szociális mérnöki támadások felváltják a szoftveralapú kihasználásokat.
' Ha potenciálisan magas kockázatú függvényt vagy metódust (trigger, például CreateProcess vagy ShellExecute) hívnak meg, az Office leállítja a makró végrehajtását, és az AMSI interfészen keresztül kéri az adott pillanatig naplózott makrok viselkedésének vizsgálatát. ”A Microsoft biztonsági szakértői elmagyarázzák.
A rosszindulatú makrók leállítása az észlelés után
Rosszindulatú viselkedés észlelése után a Microsoft azt állítja, hogy azonnal leállítja a makró végrehajtását, és az Office alkalmazás felületén keresztül értesíti a felhasználót. Ezután az alkalmazás munkamenetét leállítják a további károk elkerülése érdekében.
A Windows biztonsági értesítési mezője
Forrás - Microsoft
Az AMSI működésének részletesebb és technikai leírása az Office 365 kliensen keresztül a Microsoft teljes terjedelmében található blog bejegyzés.
A rosszindulatú program-ellenőrző felületet már integrálták a legújabb Microsoft Office 365 frissítésekbe, de nem fog működni, ha a felhasználó aktiválta az „Összes makró engedélyezése” biztonsági beállítást.
Az AMSI integráció mostantól elérhető a Word, az Excel, a PowerPoint, az Access, a Visio és a Publisher for Office 365 havi csatornák kiadásaiban is.
Címkék rosszindulatú Microsoft Office Windows biztonság