Компания Microsoft настроена отключить устаревшую функцию макросов в Microsoft Excel 4.0 (XLM) для пользователей Microsoft 365 к концу нынешнего года.
Хотя XLM-макросы были заменены на макросы на основе VBA с выпуском Excel 5.0, поддержка старой функции остается в программном обеспечении Microsoft Office Excel по сегодняшний день. Как и в случае с большинством инструментов Office, позволяющими выполнять базовые действия, подобными функциями в течение последних десятилетий злоупотребляли как финансово мотивированные преступники, так и APT-группировки.
Злоумышленники стали намного чаще использовать документы Microsoft Excel (версии 4.0) для распространения программ, несущих вред, например, таких как ZLoader и Quakbot. Вредоносное ПО Quakbot (известное как QBOT) способно загружать другие вредоносные программы , регистрировать нажатия клавиш пользователей и внедрять бэкдор. По словам специалистов, вредонос не только обманом заставлял пользователей включать макросы, но и распространялся с уже встроенными макросами XLM, которые загружали и выполняли вредоносную полезную нагрузку второго уровня с удаленного сервера.
Чтобы лучше защитить приложения Microsoft 365 пользователей от вредоносного макроса-угроз, Microsoft призвала ограничить использование макросов Excel 4.0 (XLM) с помощью нового элемента управления настройками макросов.
Доступ к настройкам Центра управления безопасностью Excel можно получить, выполнив следующие действия:
Файл > Параметры >> Центр управления безопасностью >>> Настройки Центра управления безопасностью >>>> Настройки макросов
Теперь доступна новая опция настроек Центра доверия Excel для дальнейшего ограничения использования макросов Excel 4.0 (XLM). Основываясь на недавнем выпуске интеграции AMSI для макросов XLM, этот параметр позволяет клиентам Microsoft 365 дополнительно защитить себя от новейших угроз. В Настройках макросов Центра управления безопасностью этот новый параметр флажка “Включить макросы Excel 4.0, когда макросы VBA включены” позволяет пользователям индивидуально настраивать поведение макросов XLM, не влияя на макросы VBA.
Мы приглашаем всех пользователей настроить этот новый параметр, следуя приведенным ниже “Сведения о конфигурации”. Для большинства пользователей мы рекомендуем снять флажок, чтобы отключить макросы XLM.
Если флажок установлен, вышеуказанные параметры, настроенные для макросов VBA, также будут применяться к макросам XLM. Чтобы отключить макросы XLM без уведомления, снимите флажок (рекомендуется) – эта конфигурация обеспечивает более безопасное поведение. В этом выпуске нет никакого влияния на какие-либо настройки макросов по умолчанию или предыдущие конфигурации; однако пользователи должны знать, что скоро произойдет изменение поведения макросов XLM по умолчанию (см. Более подробную информацию в разделе “Доступность” ниже).
Доступность
Этот параметр в настоящее время доступен в Excel (сборка 2104).
Администраторы также могут использовать существующий элемент управления политикой приложений Microsoft 365 для настройки этого параметра. Получите последние файлы шаблонов групповой политики .
Параметр групповой политики “Параметры макросообщени“ Macro Notification Settings” можно найти по следующему пути:
- Конфигурация пользователя > Административные шаблоны >> Microsoft Excel 2016 >>> Параметры Excel >>>> Безопасность >>>>> Центр доверия.
У администраторов также есть возможность полностью заблокировать все использование макросов XLM (в том числе в новых файлах, созданных пользователем), включив групповую политику “Запретить Excel запускать макросы XLM”, которая настраивается с помощью редактора групповой политики или раздела реестра.
- Путь групповой Политики:
- Конфигурация пользователя > Административные шаблоны >> Microsoft Excel 2016 >>> Параметры Excel >>>> Безопасность >>>>> Центр доверия
- Путь к Разделу Реестра:
- Компьютер\HKEY_CURRENT_USER\ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ\Политики\Microsoft\Office\16.0\excel\безопасность
Подробнее тут.
