Microsoft добавила защиту от макросов XLM для клиентов Microsoft 365, расширив защиту среды выполнения, обеспечиваемую интеграцией Office 365 с интерфейсом сканирования защиты от вредоносных программ (AMSI), чтобы включить сканирование макросов Excel 4.0 (XLM).
AMSI был представлен в 2015 году , и с тех пор он был принят всеми основными антивирусными продуктами, доступными для платформы Windows 10.
Он позволяет службам и приложениям Windows 10 взаимодействовать с продуктами безопасности и запрашивать сканирование потенциально опасных данных во время выполнения.
Это помогает выявить злонамеренные намерения, даже если они скрыты с помощью сильной обфускации, а также обнаруживать и блокировать вредоносные программы, злоупотребляющие макросами Office VBA и кодом PowerShell, JScript, VBScript, MSHTA / Jscript9, WMI или .NET, которые регулярно используются для развертывания вредоносных программ с помощью макросов документов Office.
Microsoft впервые расширила поддержку своего интерфейса сканирования на вредоносное ПО (AMSI) для клиентских приложений Office 365 в 2018 году, чтобы защитить клиентов от атак с использованием макросов VBA.
«Недавнее внедрение AMSI в XLM напрямую препятствует росту кампаний вредоносных программ, злоупотребляющих этой функцией», - заявили в Microsoft.
«Поскольку AMSI - это открытый интерфейс, другие антивирусные решения могут использовать такую же видимость для улучшения защиты от угроз».
Изображение: Microsoft
С тех пор, как AMSI разрешил приложениям Office 365 блокировать вредоносные макросы VBA, злоумышленники, такие как разработчики Trickbot, Zloader и Ursnif, перешли на использование вредоносных программ на основе XLM, чтобы избежать статического анализа и заразить свои цели вредоносным ПО.
«Будучи более элементарным, чем VBA, XLM достаточно мощный, чтобы обеспечить взаимодействие с операционной системой, и многие организации и пользователи продолжают использовать его функции в законных целях», - заявила Microsoft.
«Киберпреступники знают об этом и все чаще злоупотребляют макросами XLM для вызова Win32 API и выполнения команд оболочки».
Благодаря этому последнему усовершенствованию Office 365 антивирусные решения, такие как Microsoft Defender Antivirus, могут обнаруживать вредоносные макросы XLM и останавливать вредоносные программы, использующие их на своем пути.
Это также позволяет им обнаруживать более широкий спектр вредоносных программ и устанавливать более детальные ограничения на то, что макросам разрешено делать во время выполнения.
«Видимость, обеспечиваемая AMSI, приводит к значительным улучшениям в универсальных и устойчивых сигнатурах, которые могут остановить волны обфусцированных и видоизмененных вариантов угроз», - добавила Microsoft .
«Теперь администраторы могут использовать существующий элемент управления политикой приложений Microsoft 365 для настройки, когда макросы XLM и VBA сканируются во время выполнения через AMSI».
Администраторы могут загрузить последние файлы шаблонов групповой политики для приложений Microsoft 365 из центра загрузки Microsoft 365 .
Перевод - Google
Bleeping Computer