Microsoft Office 檔案案中的 VBA(Visual Basic for Applications)巨集長期以來一直被威脅作者濫用,以進入目標系統並部署惡意軟體和勒索軟體。如果允許自動運行,一旦打開 MS 檔案,就可以利用巨集來執行惡意代碼。即使 Microsoft Office 禁用巨集運行並顯示通知列警告使用者運行這些巨集的安全風險,不良行為者也有各種令人信服的場景來誘騙使用者按兩下啟用巨集“按鈕。為了幫助對抗基於巨集的惡意軟體,從 2022 年 7 月 27 日開始,Microsoft 預設在五個 Office 應用程式中阻止從 Internet 獲取的 Office 巨集。因此,Access、Excel、PowerPoint、Visio 和 Word 使用者無法在從 Internet 下載的不受信任的檔案中啟用巨集腳本。
這一限制被譽為網路安全行業的遊戲規則改變者。但是,它真的能為MS使用者提供安全嗎?答案是否定的。網路犯罪分子善於尋找新的創新方法來入侵和滲透您的系統。
VSTO 攻擊媒介
Visual Studio Tools for Office (VSTO) 是網路犯罪分子用作 VBA 替代方法的新興攻擊媒介,它可以匯出嵌入在 Office 檔案案中的外接程式。VSTO Office 檔使攻擊者能夠透過安裝外接程式對用戶進行網路釣魚並遠端執行惡意代碼。
VSTO Office 檔案連結到使用 .NET 編寫的 Visual Studio Office 檔案應用程式。它能夠包含可用於惡意目的的任意代碼,就像 VBA 一樣。VSTO Office 檔案可以包含引用和元資料,以便在使用者打開 VSTO 檔(.NET 應用程式)後從 Internet 下載該檔案。
下面是我們錄製的演示,展示了 VSTO Word 檔如何在受害者的電腦上下載和執行有害應用程式。
Deep CDR™(內容無害化與重組)技術能夠化解此類網路攻擊
Deep CDR™ 技術秉持「每個檔案都可能構成潛在威脅」的理念,能偵測並消除嵌入檔案中的所有可疑可執行元件,確保進入貴組織的所有檔案均無害。這是防範進階隱蔽型惡意軟體與零日攻擊最有效的方法。
請觀看下方的示範影片,了解惡意 VSTO Word 檔案是如何被 OPSWAT MetaDefender 如何運用 Deep CDR™ 技術停用該惡意 VSTO Word 檔案。
進一步了解Deep CDR™ 技術。若想瞭解我們如何協助您的組織全面防禦武器化文件,請立即聯繫OPSWAT 。
