Consejo rápido: Macros de oficina en redes corporativas

Las macros de Office siempre son una preocupación para los administradores de seguridad de TI. A menudo se abusa de ellos. Con recursos simples a bordo, es posible detener el peligro que representan estos miniprogramas.

En realidad, David ha estado sin trabajo durante una hora. Sin embargo, todavía se sienta frente a su computadora y martillea una orden tras otra en el sistema CRM. El departamento de ventas de «Elektromotorenbau Schmidtke und Kleiner» ha hecho un gran trabajo y ha adquirido nuevos clientes, y eso se está haciendo sentir. También es el comienzo del mes y a los clientes les gusta enviar todos sus pedidos reprimidos, que se reservarán en el nuevo presupuesto mensual. Y lo hacen con preferencia justo antes del final del día. Suspirando, David abre el siguiente correo mientras promete editarlo solo: el resto tiene mala suerte y tiene que esperar hasta mañana. «Nadie necesita motores eléctricos con tanta urgencia. Y además, las entregas salen mañana al mediodía de todos modos. De todos modos, hoy no pasa nada», piensa David. Mecánicamente, abre el correo y el archivo adjunto. Excel se abre lentamente y David pone los ojos en blanco; en realidad, los clientes deben escribir sus pedidos directamente en el texto del correo. Sin embargo, algunos clientes ignoran constantemente esta solicitud, por lo que la transferencia de pedidos tarda tres veces más en tal caso.

Ahora Excel también está en huelga y se queja de alguna función que debe activarse primero. «¡Sí, entonces detente!», Tararea David medio fuerte para sí mismo y hace clic en el mensaje. Pero la hoja de cálculo de Excel permanece vacía. «Bueno, genial, ahora puedo sacar el pedido de la nariz del cliente …» David piensa y cambia al programa de correo para enviar uno de sus correos estándar como respuesta. «Desafortunadamente, no podemos abrir el pedido que ha enviado en nuestro sitio; envíenos el número de artículo y la cantidad deseada». De repente, la pantalla se vuelve negra y el programa de correo electrónico se reemplaza por el siguiente mensaje: «¡Sus datos han sido cifrados!».


Con eso, el día de trabajo de David llega a un final abrupto, y comienza el trabajo para el departamento de TI.

¿¿Qué pasó??

David abrió un documento que se preparó con una macro maliciosa. Tales documentos no son infrecuentes. Y con el regreso de Emotet, este aspecto ha vuelto a ser el foco. Las macros en los archivos de Office son siempre el punto de partida de los incidentes de seguridad. Estas macros a menudo se incluyen en confirmaciones de envío falsas, supuestas facturas y supuestos recordatorios. Los propios correos o notas correspondientes en el documento están destinados a convencer al usuario de activar macros para activar ciertas funciones, como la edición de documentos o la posibilidad de imprimir el documento.
En segundo plano, sin embargo, los scripts se inician realmente (a menudo scripts de VBA, que a su vez llaman e.B. Powershell), que descargan malware y lo instalan en el sistema. Desde programas espía hasta ransomware, todo es posible aquí.

Las macros han sido durante mucho tiempo un problema

Las macros en los archivos de Office son siempre el punto de partida de los incidentes de seguridad. Estas macros a menudo se incluyen en confirmaciones de envío falsas, supuestas facturas y supuestos recordatorios. Los propios correos o notas correspondientes en el propio documento están destinados a convencer al usuario de activar macros con el fin de activar ciertas funciones, como la edición de documentos o la posibilidad de imprimir el documento.

En segundo plano, sin embargo, los scripts se inician realmente (a menudo scripts de VBA, que a su vez llaman e.B Powershell), que descargan malware y lo instalan en el sistema. Desde programas espía hasta ransomware, todo es posible aquí.

Muchas macros están ocultas detrás de funciones que el usuario supuestamente tiene que «desbloquear» con un solo clic. La mayoría de las veces, sin embargo, el malware está oculto aquí.

Pequeña directiva, gran impacto

Sin embargo, con la directiva de grupo, el administrador de red puede asegurarse de que ningún usuario tenga la capacidad de iniciar los miniprogramas malintencionados.

Las opciones para esto se pueden encontrar en la consola de GPO, en Configuración del equipo (o Configuración de usuario)Directivas Plantillas administrativas / Microsoft Office 2016 Configuraciónde seguridad . Si aún no existe una plantilla administrativa en el sistema: la descarga adecuada está disponible en el sitio web de Microsoft (el enlace se abrirá en una nueva ventana). La opción «DeshabilitarVBA para aplicaciones de Office»deshabilita todas las macros de VBA en MS Office globalmente.

Indirecta: Esta configuración deshabilita indiscriminadamente todas las macros de VBA, incluso si las macros firmadas se permiten a continuación. Si hay dos GPO para una configuración, siempre se aplicará la directiva más restrictiva.

¿Qué se debe bloquear?

La opción que tiene más sentido aquí es «Bloquear todas las macros excepto las firmadas». Esto hace que sea imposible para los usuarios compartir macros que no están firmadas, como las contenidas en los correos electrónicos falsos mencionados anteriormente. En el caso de que se requieran macros en algunos lugares dentro de la empresa, definitivamente deben firmarse para aumentar la seguridad. También existe la posibilidad de desactivar adicionalmente las macros que se encuentran en los documentos de Internet; la opción correspondiente se puede encontrar en la configuración del Centro de confianza. Decisivo aquí es el atributo file, que especifica la zona de seguridad. Esto se almacena en las propiedades de archivo extendidas.

Atención: ¡El GPO aún debe establecerse para los usuarios o equipos deseados después de la creación!

Coordinación

Si las macros no se utilizan en la empresa, las macros de VBA también se pueden desactivar por completo. Aquí, sin embargo, los equipos de administración deben consultar con los usuarios afectados antes de implementar esta medida. Porque a menudo se utilizan suficientes soluciones en empresas que el departamento de TI no necesariamente tiene en la factura. Y cuando el martillo cae repentinamente de la nada, se produce mucho caos.

Las macros de Office se han convertido en un clásico entre las puertas de enlace de malware. Sin embargo, casi ninguna empresa ha cubierto esto de una forma que dificulta su explotación. En el otro extremo del espectro hay un «crecimiento salvaje» de macros, algunas de las cuales se utilizan para implementar aplicaciones completas. En otras palabras, las macros no se usan en absoluto, pero tampoco se desactivan, o se usan ampliamente, pero apenas están aseguradas.

Muchas empresas no han aprovechado el respiro que les ha dado la exitosa acción policial contra los operadores de Emotet a finales de febrero de 2021.

Deshabilitar las macros tiene más sentido en un entorno donde las macros no se utilizan en absoluto, y el costo de implementación es casi nulo. Cuando una empresa no puede confiar en las macros, solo se deben permitir las macros firmadas. Una inversión inicial para una infraestructura de clave pública (PKI) correspondiente es inevitable aquí, si no existe. Pero incluso un incidente prevenido pone los costos en perspectiva de inmediato.

Enlace: Consejo: Deshabilitar macros de Office, bloquear malware | G DATOS (gdata.de)  Blog de G DATA Tim Berghoff