Com a Microsoft revertendo temporariamente um recurso que bloqueia automaticamente macros em arquivos do Microsoft Office baixados da Internet, é essencial aprender a configurar essa configuração de segurança manualmente. Este artigo explicará por que os usuários devem bloquear macros em downloads da Internet e como você pode bloqueá-los no Microsoft Office.
Um método de distribuição comum usado por alguns dos malwares mais notórios, incluindo Emotet, Dridex, Qbot e RedLine stealer, é enviar e-mails de phishing contendo documentos maliciosos do Word ou Excel com macros que instalam o malware nos dispositivos do alvo.
Para evitar esse método de distribuição, a Microsoft anunciou em fevereiro que o Microsoft Office bloquearia automaticamente macros VBA em documentos baixados da Internet a partir de junho.
Este anúncio foi recebido com apoio retumbante de muitos administradores do Windows, profissionais de segurança cibernética e usuários finais que viram isso como tendo um impacto significativo na segurança do Windows.
No entanto, logo após o lançamento do recurso em junho, a Microsoft de repente e sem nenhuma explicação real revogou essa alteração, deixando os usuários do Windows e do Microsoft Office mais uma vez em risco de documentos do Office com macros maliciosas.
Embora a reversão seja apenas temporária até que as preocupações do cliente sejam resolvidas, a boa notícia é que você pode ativar manualmente esse recurso em seus dispositivos usando políticas de grupo.
Entendendo a Marca da Web
Antes de explicarmos como bloquear automaticamente macros em arquivos do Microsoft Office baixados da Internet, é essencial entender um recurso do Windows chamado 'Mark-of-the-Web'.
A Marca da Web é um fluxo de dados alternativo NTFS especial adicionado aos arquivos baixados que informa ao Windows e aos aplicativos de suporte, como o Microsoft Office, que o arquivo foi baixado da Internet e deve ser considerado arriscado para abrir.
Quando um arquivo possui uma Marca da Web e você tenta abri-lo, o Windows exibirá avisos adicionais ao usuário, perguntando se ele tem certeza de que deseja executar o arquivo.
O Microsoft Office também verificará se há uma Marca da Web e, se encontrada, abrirá o documento no Modo de Exibição Protegido, avisando que o documento pode conter vírus.
Documento do Word aberto no Modo de Exibição Protegido
No entanto, se você já gerenciou dispositivos Windows, saberá que esses avisos geralmente são ignorados, levando um dispositivo a ser infectado e a uma rede comprometida.
Bloqueando macros em documentos da Internet
Desde 2016, a Microsoft tem uma política de grupo do Microsoft Office chamada 'Bloquear macros da execução de arquivos do Office da Internet que impedirão automaticamente a execução de macros em documentos que contenham uma 'Marca da Web'.
Embora não seja tão bonito quanto o novo recurso que a Microsoft reverteu, ele executa a mesma funcionalidade de bloquear macros em todos os documentos do Office baixados.
Para ativar esta política, você pode fazer o download e instalar as políticas de grupo do Microsoft Office e configurar a política "Bloquear macros da execução de arquivos do Office da Internet" para cada aplicativo que você deseja proteger.
Essas políticas estão localizadas em Configuração do usuário > Modelos administrativos > [Aplicativo do Office] > Opções do [Aplicativo do Office] > Segurança > Central de Confiabilidade, conforme mostrado abaixo.
Políticas de grupo do Microsoft WordFonte: BleepingComputer
Para bloquear automaticamente macros em arquivos do Microsoft Office baixados da Internet, navegue até a política 'Bloquear macros da execução de arquivos do Office da Internet' para o aplicativo que você deseja proteger e defina a política como Habilitada.
Impedir que macros executem arquivos do Office da política de grupo da InternetFonte: BleepingComputer
Depois que essa política for habilitada, um novo valor do Registro chamado 'blockcontentexecutionfrominternet' será definido como '1' na chave HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\office\[office version]\[office application]\security.
Por exemplo, ao configurar esta política para o Microsoft Word, o Windows criará o seguinte valor do Registro:
Editor de registro do Windows versão 5.00
[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\office\16.0\word\security]
"blockcontentexecutionfrominternet"=dword:00000001
Com esta política habilitada, quando você tentar abrir um documento do Word com macros que foram baixadas da Internet e habilitar macros, e você desabilitou o Modo de Exibição Protegido, você verá um aviso informando: "CONTEÚDO BLOQUEADO Macros neste documento foram desabilitadas por seu administrador corporativo por motivos de segurança."
Políticas de grupo do Microsoft Office bloqueando macrosFonte: BleepingComputer
Se você confia neste documento e sabe que ele é seguro, pode remover a Marca da Web acessando as propriedades do arquivo, clicando no botão Desbloquear na seção de segurança e pressionando o botão Aplicar, conforme mostrado abaixo.
Desbloqueando um arquivo baixado da InternetSource: BleepingComputer
Depois de desbloquear o arquivo ou remover sua Marca da Web, as macros podem ser executadas novamente quando você abre esse documento específico.
É preciso reiterar que você só deve remover a Marca da Web de documentos que você sabe que são 100% confiáveis.
Com essa política, agora você pode obter o mesmo nível de proteção que o recurso de reversão da Microsoft. Além disso, se a sua organização tiver problemas para bloquear todas as Macros, é possível configurar 'Locais Confiáveis' onde os usuários podem salvar documentos e não ter macros bloqueadas.
A Microsoft também fornece várias documentações sobre como configurar essa política e criar locais confiáveis, que devem ser lidos por todos os administradores do Windows.
Veja a noticia completa em: https://www.bleepingcomputer.com/news/microsoft/how-to-auto-block-macros-in-microsoft-office-docs-from-the-internet/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
Postar um comentário