Enfin! Les macros Office d’Internet doivent être bloquées par défaut
Hier, nous avons écrit que Microsoft avait décidé de désactiver une fonctionnalité pratique de déploiement de logiciels, même si la société s’est décrite comme « ravi » par la fonctionnalité et a décrit sa fonctionnalité comme « populaire ».
#ICYMI, il s’agissait de l’utilisation de soi-disant App Bundles pour rendre le logiciel disponible en téléchargement via votre navigateur.
En cliquant sur un lien App Bundle (qui commence par ms-appinstaller:// au lieu du plus habituel https://), vous lanceriez un processus d’installation qui semblait beaucoup plus officiel et digne de confiance que le simple téléchargement d’un fichier EXE.
Les criminels ont appris à abuser des App Bundles afin de donner l’impression que leurs installateurs de logiciels malveillants étaient d’une manière ou d’une autre approuvés ou contrôlés par Microsoft, presque comme si le téléchargement provenait du Microsoft Store lui-même (ce n’était pas le cas).
Ainsi, pour le plus grand bien de tous, Microsoft a essentiellement dit à son propre logiciel de bloquer une fonctionnalité utile de son propre logiciel, jusqu’à nouvel ordre, en tout cas :
Ce genre de chose n’arrive pas souvent, surtout chez Microsoft.
Mais à peine avions-nous rédigé les modifications de l’App Installer que nous avons reçu une surprise de plus en plus grande – et, si nous sommes honnêtes, une meilleure – surprise…
… lorsque Microsoft a annoncé une modification des paramètres de sécurité dans Office.
Le code macro d’Internet sera enfin désactivé par défaut !
Fin de siècle
Si vous travaillez dans le domaine de la cybersécurité depuis le dernier millénaire, vous vous souviendrez certainement des virus de macro Microsoft Office et vous en ferez peut-être encore des cauchemars occasionnels.
En fait, les virus de macro étaient déjà un problème avant même que les applications Office ne fusionnent en une suite d’outils avec un langage de codage de macro commun appelé VBA, abréviation de Visual Basic pour les applications.
Avant 1997, par exemple, Microsoft Word avait son propre langage de script appelé WordBasic – similaire à VBA, mais pas compatible avec lui – qui était largement utilisé par les auteurs de logiciels malveillants pour programmer des virus informatiques à propagation automatique.
Mais VBA était plus puissant, plus standardisé, et une fois qu’Office est apparu, les auteurs de logiciels malveillants l’ont adopté comme… eh bien, comme un canard à l’eau.
En termes simples, si un document Office contenait une macro intégrée dont le nom correspond à l’une des options du menu Office, cette macro se déclencherait automatiquement chaque fois que l’utilisateur cliquerait sur cet élément de menu.
Cela a permis aux entreprises d’adapter facilement le comportement de leurs applications Office à leur propre flux de travail, ce qui était extrêmement pratique si vous aviez besoin ou vouliez une telle fonctionnalité, par exemple pour limiter l’impression par erreur de documents étiquetés « confidentiels ».
Plus spectaculaire encore, certaines macros spéciales basées sur des événements, telles que Auto_Opense sont déclenchés automatiquement même si vous n’avez fait que regarder le document.
Par conséquent, un créateur de logiciels malveillants qui souhaitait piéger un fichier de document, en lui faisant exécuter un virus intégré à chaque fois que le document était consulté, n’avait pas du tout besoin d’acquérir des compétences particulières en matière de piratage ou de codage de bas niveau.
Comme vous le savez probablement, la famille de langages connue sous le nom de BASIC est censée être à la hauteur de son nom. Le mot a même été inversé dans l’acronyme Code d’instruction symbolique polyvalent pour débutantspour vous rappeler qu’il est facile à apprendre car il a été conçu pour être facile à apprendre.
L’écriture de virus pour tous
Tout à coup, n’importe qui et n’importe qui pourrait être un auteur de virus.
Étant donné que les gens échangent généralement des documents Office plusieurs fois par jour (des centaines ou des milliers de fois plus fréquemment qu’ils n’ont jamais échangé de programmes ou de fichiers EXE), les virus de macro sont rapidement devenus un problème omniprésent et toujours gênant.
Une partie du problème était que la grande majorité des utilisateurs, qui n’avaient pas vraiment besoin de VBA, étaient obligés de l’installer et de l’activer par défaut.
Même ceux qui n’en voulaient pas et savaient qu’ils n’en voulaient pas ne pouvaient pas choisir d’ignorer la partie VBA au moment de l’installation ou de la désactiver de manière fiable par la suite.
Pendant des années, l’industrie de la cybersécurité a exhorté Microsoft à modifier les paramètres par défaut d’Office pour autoriser les installations où la fonctionnalité VBA pourrait être désactivée (au moins), entièrement omise si vous le souhaitez (mieux encore), ou pas du tout installée par défaut (le meilleur de tous) .
La réponse était toujours retentissante « Non ».
L’argument ennuyeux, mais compréhensible, de Microsoft était que les produits logiciels pour terminaux sont généralement jugés, par les utilisateurs comme par les examinateurs, sur la base de ce qu’ils font « prêts à l’emploi ».
Redmond a suggéré qu’Office à pleine puissance avec VBA non par défaut deviendrait rapidement connu sur le marché comme une suite de documents bas de gamme sans prise en charge de macros du tout, et donc l’entreprise miner effectivement son propre produit pour donner à des concurrents plus agressifs un avantage déloyal.
(Nous avons énormément simplifié, mais vous voyez l’idée, et quiconque a déjà travaillé dans un service de gestion de produits ou dans le marketing de produits sympathisera probablement avec la position de Microsoft. Si votre produit habituel possède déjà des fonctionnalités attendues par des clients influents, vous ne ne vous rendez pas service en prétendant que ce n’est pas le cas.)
Restrictions et améliorations progressives
En fin de compte, Microsoft est venu à la fête de la cybersécurité et a apporté des changements constants à l’écosystème VBA qui ont certainement contribué à freiner le « gratuit pour tous » des auteurs de virus qui existait à la fin des années 1990.
Voici quelques exemples de modifications liées à la sécurité :
- Faciliter et accélérer la détection si un fichier était un pur document, différenciant ainsi rapidement les objets de document ne contenant aucune macro et les fichiers de modèle contenant du code de macro. Au début des virus de macro, à l’époque où les ordinateurs étaient beaucoup plus lents qu’aujourd’hui, une analyse importante de type malware était nécessaire sur chaque fichier de document juste pour déterminer s’il fallait analyser les logiciels malveillants.
- Rendre plus difficile pour les modèles contenant des macros de logiciels malveillants de les copier vers l’extérieur dans un fichier non encore infecté. Malheureusement, bien que cela ait aidé à tuer les logiciels malveillants de macros à propagation automatique (ce que nous appelons de vrais virus informatiques), cela n’a pas empêché les logiciels malveillants de macro en général. Les criminels pourraient toujours créer leurs propres fichiers piégés à l’avance et les envoyer individuellement à chaque victime potentielle, comme ils le font aujourd’hui, sans compter sur l’auto-réplication pour se propager davantage.
- Affichage d’un avertissement de « contenu dangereux » afin que les macros ne puissent pas facilement s’exécuter par erreur. Aussi utile que soit cette fonctionnalité, comme les macros ne s’exécutent pas tant que vous ne les autorisez pas, les escrocs ont appris à la vaincre. Ils ajoutent généralement du contenu au document qui « explique » utilement sur quel bouton appuyer, fournissant souvent une flèche pratique pointant vers celui-ci et donnant une raison crédible qui masque le risque de sécurité.
- Ajout de paramètres de stratégie de groupe pour des contrôles de macros plus stricts sur les réseaux d’entreprise. Par exemple, les administrateurs peuvent bloquer complètement les macros dans les fichiers Office provenant de l’extérieur du réseau, afin que les utilisateurs ne puissent pas cliquer pour autoriser l’exécution des macros dans les fichiers reçus par e-mail ou téléchargés sur le Web, même s’ils le souhaitent. Mais ce paramètre est actuellement désactivé par défaut.
Plus de changement à venir
Nous n’avons toujours pas atteint le point où un utilisateur informé disposant d’une installation Office locale peut supprimer entièrement VBA et ouvrir des fichiers Office dans un monde dans lequel VBA ne peut pas fonctionner, plutôt que de simplement ne pas fonctionner (ce qui est presque, mais finalement pas du tout, la même chose).
Mais Microsoft affirme que les versions d’Office 2203 de cette année auront une valeur par défaut très différente – différente selon les normes de Redmond, de toute façon :
Les macros VBA obtenues sur Internet seront désormais bloquées par défaut.
Pour les macros dans les fichiers obtenus sur Internet, les utilisateurs ne pourront plus activer le contenu d’un simple clic sur un bouton. Une barre de message apparaîtra pour les utilisateurs les notifiant avec un bouton pour en savoir plus. La valeur par défaut est plus sécurisée et devrait assurer la sécurité d’un plus grand nombre d’utilisateurs, y compris les utilisateurs à domicile et les travailleurs de l’information dans les organisations gérées.
Il nous a fallu des siècles pour comprendre le numéro de version 2203. Ayant vécu l’an 2000 – et, en effet, ayant été de service dans les SophosLabs à cette heure magique de minuit, nous avons naïvement supposé que personne au monde, et encore moins quiconque en informatique ou en informatique, n’écrirait maintenant sciemment l’année comme YY au lieu de YYYY. Mais 2203 fait apparemment référence à « mars 2022 », ce qui signifie que les sorties officielles commencent début avril 2022.
Selon Microsoft, tout document marqué comme provenant d’Internet, par exemple une pièce jointe à un e-mail ou un téléchargement Web, sera traité comme s’il ne contenait pas de macros.
Par défaut, vous ne pourrez pas activer les macros depuis Office, même si vous êtes convaincu (ou certain) que les macros sont à la fois attendues et dignes de confiance.
Au lieu de cela, dit le rapport, vous verrez ceci :
Pas exactement une victoire sur les logiciels malveillants VBA
Nous sommes ravis de voir arriver ce changement, mais il ne s’agit néanmoins que d’un petit pas de sécurité pour les utilisateurs d’Office, car :
- VBA sera toujours entièrement pris en charge, et vous pourrez toujours enregistrer des documents à partir d’e-mails ou de votre navigateur, puis les ouvrir localement de manière à ce que les macros intégrées soient autorisées. Nous pouvons donc nous attendre à ce que les cybercriminels proposent des circonlocutions, des schémas utiles et même ce qui ressemble à des raisons « soucieuses de la sécurité » pour ouvrir des documents de manière plus alambiquée mais non sécurisée.
- Les modifications n’atteindront pas les anciennes versions d’Office avant des mois, voire des années. Même la version actuelle n’inclura pas ce changement dans tous les canaux de mise à jour avant janvier 2023 au plus tôt. Les dates de changement pour Office 2021 et les versions antérieures n’ont même pas encore été annoncées.
- Utilisateurs mobiles et Mac n’obtiendra pas ce changement.
- Tous les composants Office ne sont pas inclus. Apparemment, seulement Accéder, Exceller, Power Point, Visioet Mot obtiendra ce nouveau paramètre. Bien que ces types de fichiers couvrent la majorité des attaques, il serait préférable que cette fonctionnalité de macro-blocage s’applique à tous les produits Microsoft sans crainte ni faveur.
Pour plus d’informations, consultez l’article officiel de Microsoft, Les macros provenant d’internet seront bloquées par défaut dans Office.