Microsoft Office 檔案案中的 VBA(Visual Basic for Applications)巨集長期以來一直被威脅作者濫用,以進入目標系統並部署惡意軟體和勒索軟體。如果允許自動運行,一旦打開 MS 檔案,就可以利用巨集來執行惡意代碼。即使 Microsoft Office 禁用巨集運行並顯示通知列警告使用者運行這些巨集的安全風險,不良行為者也有各種令人信服的場景來誘騙使用者按兩下啟用巨集“按鈕。為了幫助對抗基於巨集的惡意軟體,從 2022 年 7 月 27 日開始,Microsoft 預設在五個 Office 應用程式中阻止從 Internet 獲取的 Office 巨集。因此,Access、Excel、PowerPoint、Visio 和 Word 使用者無法在從 Internet 下載的不受信任的檔案中啟用巨集腳本。
這一限制被譽為網路安全行業的遊戲規則改變者。但是,它真的能為MS使用者提供安全嗎?答案是否定的。網路犯罪分子善於尋找新的創新方法來入侵和滲透您的系統。
VSTO 攻擊媒介
Visual Studio Tools for Office (VSTO) 是網路犯罪分子用作 VBA 替代方法的新興攻擊媒介,它可以匯出嵌入在 Office 檔案案中的外接程式。VSTO Office 檔使攻擊者能夠透過安裝外接程式對用戶進行網路釣魚並遠端執行惡意代碼。
VSTO Office 檔案連結到使用 .NET 編寫的 Visual Studio Office 檔案應用程式。它能夠包含可用於惡意目的的任意代碼,就像 VBA 一樣。VSTO Office 檔案可以包含引用和元資料,以便在使用者打開 VSTO 檔(.NET 應用程式)後從 Internet 下載該檔案。
下面是我們錄製的演示,展示了 VSTO Word 檔如何在受害者的電腦上下載和執行有害應用程式。
Deep CDR(檔案無毒化)(內容撤防和重組)技術可以化解此類網路攻擊
Deep CDR 認為每個檔都存在潛在威脅,因此會檢測並消除檔案中嵌入的所有可疑可執行元件,以確保進入組織的所有檔都無害。這是防止高階規避惡意軟體和零時差攻擊的最有效方法。
观看下面的演示,了解如何通过以下方法停用恶意 VSTO Word 檔案 OPSWAT MetaDefenderDeep CDR 来停用恶意 VSTO Word 檔案。
了解有關 Deep CDR(檔案無毒化) 技術的更多資訊。要了解我們如何説明您的組織提供全面的保護,使其免受武器化檔的侵害, 與 OPSWAT 現在是專家。
