Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Microsoft отказалась от блокировки выполнения макросов | Блог Касперского

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Один из самых популярных способов распространения зловредов — это добавление вредоносных команд в макросы электронных документов. И в подавляющем большинстве случаев речь идет о макросах для файлов Microsoft Office, то есть для обычных текстовых документов Word, таблиц Excel и презентаций Power Point. С такими файлами любой сотрудник компании сталкивается каждый день, и не раз.

Эта проблема существует уже более двадцати лет, так что ее решение, мягко говоря, давно назрело. В феврале этого года компания Microsoft анонсировала, что выполнение макрокоманд в скачанных из Интернета документах будет заблокировано. Однако уже в начале июля пользователи MS Office заметили, что это нововведение было отменено. На момент написания этого поста компания так и не опубликовала официального заявления по поводу отмены полной блокировки, хотя ее представители говорят, что это решение временное и было принято «на основе отзывов». Но это неплохой повод напомнить о том, что такое макросы, чем они могут навредить кибербезопасности компании и как защититься от этой угрозы.

Что такое макросы и чем они опасны?

Зачастую пользователям пакета Microsoft Office требуется автоматизировать какие-то процессы. Для этого предусмотрена возможность запрограммировать некий алгоритм действий, создав тот самый макрос. Простой пример: бухгалтер каждый месяц делает типовой отчет, и чтобы сэкономить время, он создает макрос, который автоматически будет выделять жирным все имена клиентов во втором столбце.

Для создания макросов используется VBA (Visual Basic for Applications) — несколько упрощенный, но все-таки язык программирования. Однако злоумышленники также могут использовать его в своих целях.

В этом месте стоит отметить, что работа с макросами подразумевает достаточно глубокие знания пакета программ Microsoft Оffice, которыми обладают далеко не все сотрудники, чтобы они ни писали в своих резюме. Некоторые из них даже не подозревают о существовании макросов. Преступники же, напротив, умеют создавать с помощью макросов не безобидные алгоритмы, автоматизирующие рутинные действия, а вредоносные команды.

 

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Срочно обновите Microsoft SharePoint | Блог Касперского
      Автор KL FC Bot
      Неизвестные злоумышленники активно атакуют серверы организаций, на которых установлены SharePoint Server 2016, SharePoint Server 2019 и SharePoint Server Subscription Edition. Благодаря эксплуатации цепочки из двух уязвимостей — CVE-2025-53770 (рейтинг CVSS — 9.8) и CVE-2025-53771 (рейтинг CVSS — 6,3), атакующие получают возможность запустить на сервере вредоносный код. Об опасности ситуации говорит тот факт, что патчи для уязвимостей были выпущены Microsoft поздно вечером в воскресенье. Для защиты инфраструктуры исследователи рекомендуют как можно скорее установить обновления.
      Суть атаки через CVE-2025-53770 и CVE-2025-53771
      Эксплуатация этой пары уязвимостей позволяет неаутентифицированным атакующим захватить контроль над серверами SharePoint, а следовательно, не только получить доступ ко всей хранящейся на них информации, но и использовать серверы для развития атаки на остальную инфраструктуру.
      Исследователи из EYE Security утверждают, что еще до публикации бюллетеней от Microsoft видели две волны атак при помощи этой цепочки уязвимостей, в результате которых были скомпрометированы десятки серверов. Атакующие устанавливают на уязвимые серверы SharePoint веб-шеллы, а также похищают криптографические ключи, которые позднее могут позволить им выдавать себя за легитимные сервисы или пользователей. Благодаря этому они смогут получить доступ к скомпрометированным серверам даже после того, как уязвимость будет закрыта, а зловреды уничтожены.
       
      View the full article
    • Andrei93
      Как исправить причину блокировки выполнения скрипта ?
      Автор Andrei93
      Здравствуйте.
       
      Я выполняю powershell скрипт с помощью планировщика задач от системы
       
      1. Скрипт подписан сертификатом.
      2. Скрипт выполняет установку msi плагина для Outlook.
       
      KSC считает, что это троян.
       
      - По какой причине ?
      - Как правильно разрешить мою проблему ?
       
      Kasperskiy Endpoint Security: 12.3.0.493
       
       
       


    • KL FC Bot
      Microsoft Copilot+ Recall: кому его нужно отключить и как это сделать | Блог Касперского
      Автор KL FC Bot
      Когда год назад Microsoft анонсировала функцию «фотографической памяти» Recall для компьютеров Copilot+ PC, эксперты ИБ забили тревогу. Многочисленные недостатки Recall серьезно угрожали конфиденциальности, и в Редмонде отложили запуск, чтобы доработать решение. Видоизмененный Recall появился в сборках Windows Insider Preview с апреля 2025 года, а в мае 2025 года стал широко доступен на компьютерах, имеющих нужное оборудование. Суть Recall не изменилась — компьютер запоминает все ваши действия, постоянно делая скриншоты и распознавая с применением OCR их содержимое. Но защита этих данных серьезно улучшена. Насколько это меняет общую ситуацию с Recall и стоят ли некоторые его удобства возможной потери контроля над личной информацией?
      Что изменилось во втором выпуске Recall
      Со времен первого анонса, о котором мы подробно писали, в Microsoft адресно проработали основные претензии экспертов ИБ.
      Во-первых, Recall теперь активируется только с разрешения пользователя при первоначальной настройке системы. Интерфейс не навязывает пользователям выбор визуальными трюками вроде выделения кнопки «Да».
      Во-вторых, файлы базы данных Recall теперь шифруются, а хранение ключей и криптографические операции организованы на базе аппаратного модуля защиты TPM, так что их извлечение стало значительно сложнее.
      В-третьих, специальный фильтр пытается не сохранять ни скриншоты, ни тексты, если на экране находится потенциально секретная информация: окно браузера в режиме инкогнито, окно ввода платежных данных, карточки в менеджере паролей и так далее. Важен акцент на слове «пытается» — все тестеры описывают многочисленные случаи, когда конфиденциальные данные проскочили фильтр и оказались в базе распознавания.
       
      View the full article
    • KL FC Bot
      Фишинговое письмо с HR-гайдлайнами | Блог Касперского
      Автор KL FC Bot
      Попытки поставить целевой фишинг на поток мы наблюдаем уже достаточно давно. Как правило, они ограничиваются чуть лучшей стилизацией писем под конкретную компанию, имитацией корпоративного отправителя при помощи методики Ghost Spoofing и персонализацией послания (которая в лучшем случае заключается в обращении к жертве по имени). Однако в марте этого года мы начали регистрировать крайне любопытную рассылку, в которой персонализирован был не только текст в теле писем, но и вложенный документ. Да и сама схема была не совсем типичной — в ней жертву пытались заставить ввести корпоративные учетные данные от почты под предлогом изменений HR-политики.
      Письмо от злоумышленников: просьба ознакомиться с новыми HR-гайдлайнами
      Итак, жертва получает письмо, в котором якобы представители HR, обращаясь по имени, просят ознакомиться с изменениями HR-политики, касающимися протоколов удаленной работы, доступных рабочих льгот и стандартов безопасности. Разумеется, любому сотруднику важны изменения такого рода, курсор так и тянет к приложенному документу (в названии которого, к слову, тоже есть имя получателя). Тем более в письме такая красивая плашка, в которой сказано, что отправитель подтвержденный, сообщение пришло из листа безопасных адресатов. Но как показывает практика, именно в таких случаях к письму стоит присмотреться повнимательнее.
       
       
      View the full article
    • KL FC Bot
      Главные ошибки работы с CVSS | Блог Касперского
      Автор KL FC Bot
      При знакомстве с рейтингом CVSS (Common Vulnerability Scoring System) многим кажется, что он прекрасно подходит для сортировки уязвимостей и их приоритизации: если больше цифра рейтинга, значит уязвимость важнее. На практике этот подход не срабатывает. Уязвимостей с высоким рейтингом каждый год становится все больше, закрывать их все команды ИБ не успевают, при этом львиная доля этих дефектов никогда не эксплуатируется в реальных атаках. В то же время злоумышленники то и дело используют менее броские уязвимости с невысоким рейтингом. Есть и другие подводные камни — от чисто технических (конфликтующие оценки CVSS) до концептуальных (отсутствие бизнес-контекста).
      Считать это недостатками самого рейтинга CVSS нельзя, нужно просто применять этот инструмент правильно: в рамках более сложного и комплексного процесса управления уязвимостями.
      Разночтения CVSS
      Иногда одна и та же уязвимость получает разную оценку критичности в доступных источниках: у исследователя ИБ, который ее нашел; у производителя уязвимого ПО; в национальном реестре уязвимостей. Кроме банальных ошибок у этих разночтений может быть и более серьезная причина — разные эксперты могут расходиться в оценках контекста эксплуатации: например, о том, с какими привилегиями выполняется уязвимое приложение, доступно ли оно из Интернета, и так далее. Производитель может ориентироваться здесь на свои рекомендации лучших практик, а исследователь ИБ — на то, как приложения настроены в реальных организациях. Один исследователь может оценить сложность эксплуатации как высокую, а другой — как низкую. Все это далеко не редкость. В исследовании VulnCheck, проведенном в 2023 году, подсчитали, что 20% уязвимостей из NVD содержат два рейтинга CVSS3 из разных источников и 56% этих парных оценок конфликтуют между собой.
       
      View the full article
×
×
  • Создать...