Husker du 1999?
Nå, Melissa-virussen har lige ringet, og den har det svært i 2022.
Det kræver en tilbagevenden til de frihjulede dage i det sidste årtusinde, hvor Office-makrovirus ikke stod over for de prøvelser og trængsler, som de gør i dag.
I 1990'erne kunne du indsætte VBA (Visual Basic til applikationer) makrokode ind i dokumenter efter behag, e-mail dem til folk, eller bed dem om at downloade dem fra et websted et eller andet sted...
…og så kunne du bare helt overtage deres computer!
Faktisk var det endnu bedre/værre end det.
Hvis du oprettede en makrounderrutine med et navn, der afspejlede et af de almindelige menupunkter, som f.eks FileSave or FilePrint, så ville din kode på magisk og usynligt vis blive fremkaldt, hver gang brugeren aktiverede denne mulighed.
Endnu værre, hvis du gav din makro et navn som AutoOpen, så ville den køre hver gang dokumentet blev åbnet, selvom brugeren kun ville se på det.
Og hvis du installerede dine makroer i et centralt lager kendt som global skabelon, ville dine makroer automatisk anvendes hele tiden.
Værst af alt er det måske, at et inficeret dokument kunne implantere makroer ind den globale skabelon, og dermed inficerede computeren, og de samme makroer (da de opdagede, at de kørte fra den globale skabelon, men det dokument, du lige har åbnet, var uinficeret) kunne kopiere sig selv trække sig ud igen.
Det førte til regelmæssige "perfekte storme" af hurtigt spredte og langvarige makrovirusudbrud.
Makrovirus spredes som en gal
Kort sagt, når du først havde åbnet et inficeret dokument på din computer, ville (eller kunne i det mindste) hvert dokument, du åbnede eller oprettede derefter, også blive inficeret, indtil du ikke havde andet end inficerede Office-filer overalt.
Som du kan forestille dig, på det tidspunkt i spillet, enhver fil, du sendte til eller delte med en kollega, kunde, prospektør, investor, leverandør, ven, fjende, journalist, tilfældigt medlem af offentligheden...
... ville indeholde en fuldt funktionel kopi af virussen, klar til at gøre sit bedste for at inficere dem, når de åbnede den, forudsat at de ikke allerede var inficeret.
Og hvis det ikke var nok i sig selv, kunne Office makro-malware bevidst distribuere sig selv, i stedet for at vente på, at du sender en kopi til en anden, ved at læse din e-mailadressebog og sende sig selv til nogle, mange eller alle navnene derinde.
Hvis du havde en adressebogspost, der var en e-mail-gruppe, som f.eks Everyone eller All Friends eller All Global Groups, så hver gang virussen sendte en e-mail til gruppen, ville hundreder eller tusinder af smitsomme meddelelser flyve over internettet til alle dine kolleger. Mange af dem ville snart maile dig tilbage, da virussen også fik fat i deres computer, og det ville resultere i en sand e-mailstorm.
Den første makro-malware, som spredte sig ved hjælp af inficerede Word-filer, dukkede op i slutningen af 1995 og blev døbt Concept, fordi det på det tidspunkt var lidt mere end et proof-of-concept.
Men det var hurtigt klart, at ondsindede makroer ville være mere end blot en forbigående hovedpine.
Microsoft var langsom til at komme til cybersikkerhedsfesten og undgik omhyggeligt udtryk som f.eks virus, orm, Trojansk hest , malware, der resolut refererer til Concept-virussen som intet andet end en "prank-makro".
En gradvis lockdown
I årenes løb implementerede Microsoft dog gradvist en række funktionelle ændringer i Office, ved forskelligt:
- Gør det nemmere og hurtigere at opdage, om en fil var et rent dokument, derved hurtigt differentiere rene dokumentfiler og skabelonfiler med makrokode indeni. I de tidlige dage med makrovirus, dengang computere var meget langsommere end i dag, var der behov for betydelig og tidskrævende malware-lignende scanning på hver dokumentfil bare for at finde ud af, om den skulle scannes for malware.
- Gør det sværere for skabelonmakroer at kopiere sig selv ud i uinficerede filer. Selvom dette var med til at dræbe selvspredning af makrovirus, forhindrede det desværre ikke makro-malware generelt. Kriminelle kunne stadig oprette deres egne filer, der er fanget i fælden, og sende dem individuelt til hvert potentielt offer, ligesom de gør i dag, uden at være afhængig af selvreplikering for at sprede sig yderligere.
- Dukker en advarsel om 'farligt indhold' op, så makroer ikke nemt kan køre ved en fejl. Hvor nyttig denne funktion end er, fordi makroer ikke kører, før du vælger at tillade dem, har skurke lært at besejre den. De tilføjer typisk indhold til dokumentet, som hjælpsomt "forklarer", hvilken knap der skal trykkes på, ofte med en praktisk grafisk pil, der peger på det, og giver en troværdig grund, der skjuler den involverede sikkerhedsrisiko.
- Tilføjelse af gruppepolitikindstillinger for strengere makrokontrol på virksomhedens netværk. For eksempel kan administratorer blokere makroer helt i Office-filer, der kom uden for netværket, så brugere ikke kan klikke for at tillade makroer at køre i filer, der modtages via e-mail eller downloades fra nettet, selvom de ønsker det.
Endelig, i februar 2022, Microsoft annoncerede, til suk af kollektiv lettelse fra cybersikkerhedssamfundet, at det planlagde at aktivere "hæmningsmakroerne i dokumenter, der ankom fra internettet" som standard for alle, hele tiden.
Sikkerhedsindstillingen, der plejede at kræve gruppepolitikintervention, blev endelig vedtaget som standardindstilling.
Med andre ord, som virksomhed var du stadig fri til at bruge VBA's magt til at automatisere din interne håndtering af officielle dokumenter, men du ville ikke (medmindre du gik ud af din måde at tillade det) blive udsat for potentielt ukendte, upålidelige og uønskede makroer, der ikke var fra en godkendt, intern kilde.
Som vi rapporterede dengang. Microsoft beskrev ændringen således:
VBA-makroer hentet fra internettet vil nu blive blokeret som standard.
For makroer i filer hentet fra internettet vil brugere ikke længere være i stand til at aktivere indhold med et klik på en knap. En meddelelseslinje vises for brugere, der giver dem besked med en knap for at lære mere. Standarden er mere sikker og forventes at holde flere brugere sikre, herunder hjemmebrugere og informationsmedarbejdere i administrerede organisationer.
Vi var entusiastiske, selvom vi troede, at forandringen var det lidt halvhjertetog bemærker, at:
Vi er glade for at se denne ændring komme, men det er ikke desto mindre kun et lille sikkerhedstrin for Office-brugere, fordi: VBA vil stadig være fuldt understøttet, og du vil stadig være i stand til at gemme dokumenter fra e-mail eller din browser og derefter åbne dem lokalt; ændringerne når ikke ældre versioner af Office i måneder eller måske år, [i betragtning af at] ændringsdatoer for Office 2021 og tidligere endnu ikke er blevet annonceret; mobil- og Mac-brugere får ikke denne ændringOg ikke alle Office-komponenter er inkluderet. Tilsyneladende er det kun Access, Excel, PowerPoint, Visio og Word, der får denne nye indstilling.
Nå, det viser sig ikke kun, at vores entusiasme var dæmpet, men også at den var kortvarig.
I sidste uge, Microsoft uændret ændringenog ophævede blokeringen, der siger, at:
Efter brugerfeedback har vi rullet denne ændring midlertidigt tilbage, mens vi foretager nogle yderligere ændringer for at forbedre brugervenligheden. Dette er en midlertidig ændring, og vi er fuldt ud forpligtet til at foretage standardændringen for alle brugere.
Uanset standardindstillingen kan kunder blokere internetmakroer gennem gruppepolitikindstillingerne beskrevet i artiklen Bloker makroer fra at køre i Office-filer fra internettet.
Vi vil give yderligere oplysninger om tidslinjen i de kommende uger.
Hvad skal jeg gøre?
Kort sagt ser det ud til, at tilstrækkeligt mange virksomheder ikke kun er afhængige af at modtage og bruge makroer fra potentielt risikable kilder, men heller ikke endnu er villige til at ændre den situation ved at tilpasse deres virksomheds workflow.
- Hvis du var tilfreds med denne ændring, og ønsker at fortsætte med at blokere makroer udefra, skal du bruge gruppepolitik til at aktivere indstillingen uanset produktstandarderne.
- Hvis du ikke var tilfreds med det, hvorfor ikke bruge dette pusterum til at tænke over, hvordan du kan ændre din virksomheds arbejdsgang for at reducere behovet for at blive ved med at overføre usignerede makroer til dine brugere?
Det er en ironi, at en cybersikkerhedsændring, som en kyniker måske har beskrevet "som for lidt, for sent", viser sig i det virkelige liv at have været "for meget, for tidligt."
Lad os sørge for, at vi i fællesskab er klar til beskedne ændringer i cybersikkerhed af denne art i fremtiden...
- blockchain
- coingenius
- cryptocurrency tegnebøger
- kryptoverveksling
- cybersikkerhed
- cyberkriminelle
- Cybersecurity
- afdeling for indenrigssikkerhed
- digitale tegnebøger
- firewall
- Kaspersky
- Makro
- malware
- Mcafee
- microsoft
- Naked Security
- Nexbloc
- Office
- Phishing
- plato
- platon ai
- Platon Data Intelligence
- Platon spil
- PlatoData
- platogaming
- VBA
- VPN
- website sikkerhed
- zephyrnet
![S3 Ep105: WONTFIX! MS Office-krypteringsfilen, der "ikke er en sikkerhedsfejl" [Audio + Tekst] PlatoBlockchain Data Intelligence. Lodret søgning. Ai.](https://platoblockchain.com/wp-content/uploads/2022/10/pic-1200-360x188.png "S3 Ep105: WONTFIX! MS Office cryptofail, der \"ikke er en sikkerhedsfejl\" [Lyd + Tekst]")
![S3 Ep95: Slap læk, Github-angreb og post-kvantekrypto [Audio + Tekst] PlatoBlockchain Data Intelligence. Lodret søgning. Ai.](https://platoblockchain.com/wp-content/uploads/2022/08/schroe-1200-300x157.png "S3 Ep95: Slap lækage, Github-angreb og post-kvantekrypto [lyd + tekst]")
