Aktualizace 11. listopadu 2022: Microsoft obnovuje nasazení této změny do jednotlivých aktualizačních větví sady Office. Ověřte si možné dopady raději dříve než později.
Aktualizace 7. července 2022: Microsoft na základě zpětné vazby zákazníků bohužel dočasně pozastavil nasazení této změny do produkčních aktualizačních kanálů sady Office.
Makra jsou oblíbeným vektorem pro útok. Jednoduše protože dokážou nést pro útočníka většinu potřebného. A k jejich spuštění v drtivé většině postačuje uživatele přesvědčit o legitimnosti dokumentu.
V takovém případě je s koncovou stanicí a často i celým prostředím společnosti rázem veta. Ať viditelně ve formě ransomware útoku, nebo neviditelně, kdy útočník dále postupuje organizací, získává z ní citlivé údaje a informace a možná jednoho dne podstrčí účtárně nějakou pěknou falešnou fakturu.
Doporučení blokovat ve společnosti makra zcela, nebo aspoň dovolit jen ta důvěryhodná, podepsaná například certifikátem z interní nebo veřejné certifikační autority, tak putuje příručkami pro správce od nepaměti. Ale přesto to byl krok, který mnozí nepodnikli. Třebaže neměli o této možnosti tušení, nebo prostě nevěděli, která makra jsou vlastně ta důvěryhodná a zda je v organizaci mají. Protože chyběla interní telemetrie.
I zde nám pro tato prostředí opět hází pomocné lano Microsoft a plánuje změnu chování politiky pro spouštění maker. S touto změnou budou všechna makra u souborů pocházejících z internetu prostě a jednoduše blokována. Uživatel tak nemůže prostředí jednoduše ohrozit a IT nemusí v zásadě nic dalšího podnikat.
Obrázek 1: Makro v souboru staženém z internetu již nespustíte
Jak už to ale bývá, může to mít své ale. A proto je zde stále cesta, jak spuštění i u takového souboru povolit. Prostým odebráním příznaku, že soubor pochází z veřejného internetu. IT oddělení má také k dispozici politiku, kterou toto chování může ovlivnit k obrazu svému.
V současné chvíli se takto chovají od dubna 2022 aktuální zkušební verze Current Channel, ale další budou brzy následovat:
- Červen 2022 kanál Current Channel
- Červenec 2022 kanál Monthly Enterprise
- Září 2022 pro testovací Semi-Annual Enterprise
- Leden 2023 pro produkční Semi-Annual Enterprise
V budoucnu se toto chování stane pomocí bezpečnostních aktualizací výchozím i pro klasické Office LTSC a balíky, které byly vydány standardní cestou jako například Office 2019 nebo 2016 a jsou stále podporovány.
Pokud na makrech stojí funkčnost vašich interních systémů, je správný čas zkontrolovat, zda nebudou touto změnou blokovány. Například tím, že jejich zdrojem je SharePoint synchronizovaný pomocí OneDrive klienta jako důvěryhodnou lokací a pro URL tohoto intranetu je využita skutečně zóna intranet i v prohlížeči.
Případně ještě lépe makra skutečně nechat podepsat důvěryhodnou certifikační autoritou a jinak je zakázat. Nebo zvážit přechod na Office Scripts. Takové totiž pracují i ve webových verzích Office.
Nenechte se ale ukolébat na vavřínech jen s makry. Důležité jsou kromě maker i další bezpečnostní mechanismy, jako pravidelné aktualizace sady Office, používání Attack Surface Reduction pravidel, které mohou blokovat i další a jiné dosud neznámé útoky.
