微软暂停曾备受推崇的宏安全性变更
微软暂停默认阻止VBA宏的决定
关键要点
微软宣布将回滚最近对Office 365的VBA宏默认阻止设置,此举让安全社区感到困惑。此次回滚是对用户反馈的回应,微软表示将继续致力于此功能的推广。VBA宏自1993年被推出以来,一直是网络安全建议中被建议关闭的内容,但在实际应用中却难以完全放弃。蚂蚁npv加速器下载在一个让安全行业感到困惑的决定中,微软在周四通知Office 365管理员,将回滚对从互联网下载的VBA宏的默认阻止。
“根据用户反馈,我们将撤回此来自当前渠道的变更。感谢我们收到的反馈,我们正在努力改善这一体验。当我们准备好再次发布时,会提供进一步更新。谢谢,”这家位于华盛顿州雷德蒙德的公司如是表示。
在对原公告的进一步更新中,微软说明这更多是一种暂停,而非延迟。“这是一个临时性变更,我们完全承诺将该默认设置应用于所有用户。”
早在二月份时宣布的此项功能得到了安全界的广泛好评。人们对于该功能原定暂停的公告感到困惑,尤其是对于它何时以及是否会重新发布的问题,迅速引发了担忧。
“普遍的观点是:这到底有什么好处呢?”Proofpoint威胁研究和检测副总裁Sherrod DeGrippo问道。“大家都对此决定表示庆祝,或者至少持积极态度。现在决定撤回这一决定,坦率地说,让人费解。”
自1993年引入VBA宏以来,第一个宏病毒Concept于1995年频繁出现。此后,用户和管理员被建议始终关闭宏以确保安全。
尽管如此,宏功能丰富且在很多情况下难以完全弃用。微软二月份的公告允许管理员在二者之间找到平衡;Office 365会标记从互联网下载的文档,并默认显示警告页面,而不是直接运行这些文档中的宏。
“按照任何标准,电子邮件仍然是对手进行初始访问的主要途径,导致各种各样的网络攻击。默认禁用宏将对对手产生重大干扰,而对IT专业人员的干扰相对较小,因为他们可以选择重新启用宏并接受相关风险,”Red Canary首席安全专家Brian Donohue在邮件中表示。
微软并没有直接回答关于决定延迟其二月份决定的问题,而是指向了更新的公告。
DeGrippo补充道,令人遗憾的是,即使只是宣布默认禁用VBA宏,也可能迫使对手改变战术。即使只是这个决定的公布,它也已经产生了影响。
“Emotet使用恶意宏文档已经有漫长的历史,最近我们看到威胁行为者开始改变战术,使用更多的容器、LNK文件、压缩文件等,”她表示。“非常容易推测这可能是对微软原决定的回应。因此,不仅之前禁止宏的决定受到好评,并被视为积极因素,实际上它确实对行为产生了影响。”