Macros de Office: Pero sin cambios y Microsoft guarda silencio

Las macros de Office son una de las puertas de enlace más populares para el malware de todo tipo. Microsoft anunció en febrero que cambiaría la configuración predeterminada de las macros en los documentos de Office a partir de abril/mayo a «bloqueadas». Pero ahora la empresa de Redmond ha retirado discretamente el cambio. Las razones de esto son oscuras.

Los expertos en seguridad de todo el mundo deben haber suspirado aliviados cuando Microsoft anunció que bloquearía las macros en los archivos de Office en el futuro. Hay suficientes razones para esto, ya que las macros son una de las formas más utilizadas para colocar malware en los sistemas. Hasta entonces, solo se mostraba una advertencia. Sin embargo, los usuarios tenían la opción de omitir esto con un solo clic y seguir ejecutando las macros, lo que probablemente hicieron en la mayoría de los casos. Los efectos son conocidos y no necesitan más explicación aquí.  

¿Por qué permitir macros en absoluto?
Especialmente en el sector privado, hay muy pocas áreas de aplicación para las que las macros de Office son absolutamente necesarias. Los únicos casos en los que es probable que la mayoría de los usuarios domésticos entren en contacto con macros son aquellos correos electrónicos que afirman contener de todo, desde facturas hasta notas de entrega y cartas de abogados, y cuyo único propósito es introducir malware de contrabando en el sistema. Y los delincuentes son buenos para disipar las preocupaciones sobre la legitimidad de su solicitud (abre rápidamente el documento adjunto). Aquí está el problema. 

Sin embargo, no debemos ocultar el hecho de que las empresas en particular dependen del uso de documentos de Office que contienen macros en algunos casos. Las razones de esto son ciertamente discutibles, pero ese no es el objetivo de este artículo. El caso es que deshabilitar macros en fábrica tiene cierto impacto en el día a día de la empresa. Sin embargo, existe la posibilidad de crear excepciones aquí, por ejemplo, para macros firmadas cuyo origen se verifica. Estos podrían continuar usándose sin restricciones, mientras que las macros sin firmar, por ejemplo, en archivos adjuntos de correos electrónicos, continúan bloqueadas.  

Por supuesto, se requiere un poco de trabajo preparatorio para la implementación de medidas para firmar macros, en forma de una infraestructura PKI correspondiente. Especialmente en las grandes empresas, esta no es una «solución de dos clics» que se puede completar en media hora. También debe quedar claro que configurar las políticas de grupo correspondientes (GPO) en el Active Directory de la empresa es, en el mejor de los casos, en teoría, un asunto de dos clics: lidiar con GPO no siempre es fácil, especialmente en entornos de AD más grandes.  

Comunicación: Pobre

Microsoft ahora se ha retirado de cambiar la configuración de macros predeterminada, aparentemente en respuesta a los «comentarios». Eso está bien al principio, incluso si es demasiado decepcionante en este caso. Sin embargo, lo que ha dejado un más que mal sabor de boca a muchos expertos en seguridad y periodistas es el hecho de que Microsoft no haya comunicado estas medidas. Una configuración tan crítica para la seguridad, en la que muchos usuarios y empresas han confiado sin cambiar la información relevante para los afectados, no indica necesariamente que Microsoft sea consciente de las implicaciones de esta decisión. Presumiblemente, los responsables de Microsoft lo saben muy bien. Pero parece que algunas partes interesadas han logrado simplemente «impulsar» este cambio, en última instancia, en detrimento de todos y en beneficio de un presumiblemente pequeño grupo de empresas a las que, por sus propios motivos, no les gustó la nueva actitud más segura. Eso es un poco como un fabricante de automóviles que desactiva cosas como el ABS o el sistema de advertencia de cambio de carril en un parche de software sin decirle al cliente. Es totalmente irresponsable. El único consuelo frío: Microsoft dice que se puede esperar un nuevo intento «dentro de las próximas semanas».

Pero en lugar de responder preguntas sobre los motivos, Microsoft guarda silencio, lo que, por supuesto, también envía una señal. Porque ninguna declaración es sólo una declaración.
 

volver a ir

La conclusión es que los afectados solo tienen que verificar por sí mismos qué configuraciones están configuradas actualmente. Cuando no se requieran macros, no deberían permitirse. Esta opción siempre estuvo disponible y Microsoft también la recomienda explícitamente. Los administradores de TI deben consultar con los empleados y los respectivos líderes de equipo para evitar sorpresas desagradables.  

Enlace: https://www.gdata.de/blog/2022/07/office-makros-doch-nicht-geblockt  Blog de  G DATA  Tim Berghoff