Microsoft Office 文档中的 VBA(Visual Basic for Applications)宏长期以来一直被威胁作者滥用,以进入目标系统并部署恶意软件和勒索软件。如果允许宏自动运行,一旦打开 Microsoft 文档,宏就会被用来执行恶意代码。即使 Microsoft Office 禁用了宏运行,并显示了警告用户运行这些宏存在安全风险的通知栏,恶意程序仍可以通过各种令人信服的方案诱骗用户点击 "启用宏 "按钮。为了帮助应对基于宏的恶意软件,微软从 2022 年 7 月 27 日起在五个 Office 应用程序中默认阻止从互联网获取的 Office 宏。因此,Access、Excel、PowerPoint、Visio 和 Word 用户无法在从互联网下载的不可信文件中启用宏脚本。
这一限制被誉为改变了网络安全行业的游戏规则。然而,它真的能为 MS 用户提供安全吗?答案是否定的。网络犯罪分子善于寻找新颖的方法来入侵和渗透你的系统。
VSTO 攻击向量
Visual Studio Tools for Office(VSTO)是网络犯罪分子用来替代 VBA 的一种新出现的攻击载体,它可以导出嵌入 Office 文档中的插件。通过 VSTO Office 文件,攻击者可以对用户进行钓鱼,并通过安装插件远程执行恶意代码。
VSTO Office 文档与 Visual Studio Office File 应用程序相链接,而 Visual Studio Office File 应用程序是用 .NET 编写的。与 VBA 一样,它可以包含用于恶意目的的任意代码。VSTO Office 文档可以包含引用和元数据,一旦用户打开文件,就可以从互联网上下载 VSTO 文件(.NET 应用程序)。
下面是我们录制的演示,展示了 VSTO Word 文件如何在受害者机器上下载和执行有害应用程序。
Deep CDR (内容解除武装和重组)技术可以化解这类网络攻击
Deep CDR 认为每个文件都是潜在威胁,因此会检测并消除文件中嵌入的所有可疑可执行组件,以确保进入企业的所有文件都是无害的。这是防止高阶逃避式恶意软件和零日攻击的最有效方法。
观看下面的演示,了解如何通过以下方法停用恶意 VSTO Word 文件 OPSWAT MetaDefenderDeep CDR 来停用恶意 VSTO Word 文件。
了解有关Deep CDR 技术的更多信息。要了解我们如何帮助贵组织提供全面保护,防止文件被武器化,请立即联系OPSWAT 专家。
