遭到企业强烈反对后微软回滚Office安全变更 默认不再禁用VBA宏功能
基于安全考虑微软早就计划禁用VBA宏功能,通常在企业环境中使用宏可以执行重复任务以缩短花费的时间。
但宏功能具有编写代码的特性因此也可以被利用,实际上利用宏功能展开网络攻击的案例无时无刻不在发生。
最典型的案例就是BEC即商业电子邮件诈骗 , 这类邮件附件通常附带恶意宏,诱导财务人员加载后安装后门。
因此从某些方面来说禁用宏功能功能并不是坏事,毕竟企业有需要的话也可以自己启用并不是彻底阻止运行。
另外微软禁用的也只是从网络上下载的附件的宏模块,如果是在本地开发的宏模块默认其实不会被阻止运行。
据微软在 Microsoft 365 消息中心发布的公告(MC393185),即日起撤销默认禁用网络下载的宏功能的变更。
微软并没有详细解释为什么会撤销这项安全变更,但微软提到发布变更后收到许多反馈,微软正在努力改进。
因此这应该是不少企业反对这项更改导致的,此功能对家庭用户来说影响甚微因此不太可能是家庭用户反馈。
对企业来说禁用此功能确实会造成影响,尤其是在大型企业里通过宏执行各种重复任务非常常见依赖性较强。
在此前的博客中已经有很多企业对该变更表达强烈不满,企业认为微软应该提高透明度、先及时和客户沟通。
不过微软也只是改进体验而非放弃阻止网络宏,微软表示当再次准备好发布这项变更时会提前通知管理员们。
▲一份典型的钓鱼表格 黑客诱导用户启用宏
微软作出的这些变更本质上都是经过调查和深思熟虑的,宏功能已经被黑客玩烂每年造成的损失也难以估量。
常见的案例包括Emotet以及TrickBot恶意软件家族都使用宏传播 , 这些恶意软件通常还夹杂着各类勒索软件。
传播方式上主要是钓鱼邮件,利于面向财务人员账单以及面向销售人员的新订单等文件是最常见的传播媒介。
这些附件打开时都会弹出提示诱导企业人员运行宏功能,然而如果真的运行木马会立即运行并加载其他木马。
Emotet以及TrickBot会通过广泛撒网感染大量企业 , 然后再将受害者访问权限出售给勒索软件从而完成闭环。
当然如果企业确实需要使用宏功能的话应该提前做好安全培训,毕竟一次失误对企业来说都有可能是致命的。
对于普通用户蓝点网强烈建议永久禁用宏,只要用不上还开着只会增加风险,具体可看这篇文章的后半部分。