Microsoft ha desactivado por defecto las macros de Excel 4.0 en la última versión de su software de hoja de cálculo para ayudar a los clientes a protegerse contra las amenazas de seguridad relacionadas.
Este ajuste, publicado como una configuración opcional en el Centro de Confianza de Excel en julio, es ahora el valor por defecto al abrir las macros de Excel 4.0 (XLM), dijo Microsoft en un blog.
Una macro es una serie de comandos que puedes utilizar para automatizar una tarea repetida, y que se puede ejecutar cuando tengas que realizarla. Pero las macros inesperadas pueden suponer un importante riesgo de seguridad. No es necesario habilitar las macros para ver o editar el archivo; sólo si quieres la funcionalidad que proporciona la macro. Pero los delincuentes tratarán de engañar a los incautos para que habiliten las macros y luego utilicen esa funcionalidad como parte de sus ataques.
La medida de restringir las macros de Excel 4.0 es un intento de contrarrestar un aumento del ransomware y otros grupos de malware que utilizan macros de Excel 4.0 como parte de una infección inicial. Los atacantes patrocinados por gobiernos y los ciberdelincuentes comenzaron a experimentar con macros heredadas de Excel 4.0 en respuesta a que Microsoft en 2018 tomó medidas enérgicas contra los scripts de macros escritos en Visual Basic para Aplicaciones (VBA).
La configuración inicial del Centro de Confianza de Excel se dirigió a las organizaciones que querían que las macros VBA y heredadas se ejecutaran a través de la configuración "Habilitar las macros de Excel 4.0 cuando las macros VBA están habilitadas". Esto permitía a los administradores controlar el comportamiento de las macros sin afectar a las macros VBA.
Ahora las macros están desactivadas por defecto en Excel en la versión 16.0.14427.10000 y posteriores. Los administradores pueden seguir configurando el ajuste en el control de políticas de las aplicaciones de Microsoft 365.
Microsoft ha añadido algunas opciones nuevas de configuración de políticas a la configuración original de la política de grupo que se puso a disposición en julio.
Ahora también existe la opción de administrar la configuración de políticas en el servicio de políticas de la nube de Office, que se aplica a los usuarios que acceden a las aplicaciones de Office desde cualquier dispositivo con su cuenta de Active Azure Directory (AAD). La política también se puede gestionar desde Microsoft Endpoint Manager.
Para bloquear XLM de forma generalizada, incluyendo los nuevos archivos creados por los usuarios, los administradores pueden configurar la directiva de grupo para "evitar que Excel ejecute XLM". Esto se puede hacer a través del Editor de Políticas de Grupo o de la clave del registro.
Esto debería ayudar a los administradores a mitigar las amenazas de malware VBA y XLM utilizando la política. Microsoft ha abordado el aspecto antivirus de la defensa a través de una integración entre su Interfaz de Análisis Antimalware (AMSI) y Office 365 con la que Defender y los antivirus de terceros pueden integrarse.
La integración AMSI-Office 365 permitió el escaneo de macros de Excel 4.0 en tiempo de ejecución el año pasado, lo que lo pone en línea con la misma capacidad de escaneo en tiempo de ejecución para macros VBA en 2018. Básicamente, cuando llegó el escaneo en tiempo de ejecución de VBA para Excel, los atacantes se trasladaron a las macros más antiguas basadas en XL, que sabían que las organizaciones todavía utilizaban para fines legítimos y eran lo suficientemente potentes como para llamar a interfaces Win32 y ejecutar comandos de shell.