Alcune tra le più note famiglie di ransomware e in generale di malware si diffondono attraverso campagne che sfruttano documenti Office contenenti macro malevole.
Le macro VBA sono procedure automatizzate che possono essere richiamate all’apertura di un documento o nel momento in cui si verifica un determinato evento. VBA è un’implementazione di Visual Basic che è stata progettata negli anni ’80 e che viene inserita all’interno di applicazioni Microsoft come appunto la suite Office.
Dal momento che il codice VBA permette di eseguire un ampio ventaglio di operazioni sul sistema in uso, le macro sono da tempo sfruttate come trampolino di lancio per la diffusione di molteplici tipologie di minacce informatiche.
Quando si riceve un documento via email o lo si scarica da Internet questo viene aperto in Office nella modalità chiamata Visualizzazione protetta: il caricamento delle macro eventualmente presenti viene automaticamente disabilitato e il file è gestito in sola lettura. Il Centro protezione di Microsoft Office aiuta a preservare sicurezza e privacy difendendo per impostazione predefinita l’utente da qualunque contenuto potenzialmente dannoso in quanto non creato né modificato in ambito locale.
Microsoft aveva annunciato all’inizio del 2022 che avrebbe reso più difficile l’attivazione delle macro VBA contenute nei documenti Office scaricati da Internet. Diversamente da ciò che accadeva in precedenza, gli utenti di Office non avrebbero potuto più attivare le macro con un semplice clic su un pulsante.
La modifica avrebbe interessato Word, Excel, PowerPoint, Access e Visio.
Per i file certamente sicuri, gli utenti possono eventualmente abilitare le macro e altri elementi contenuti nei documenti Office cliccando con il tasto destro sul loro nome in Esplora file, selezionando Proprietà quindi spuntando Annulla blocco in basso.
Vale la pena ricordare che alcuni documenti superano la Visualizzazione protetta di Office e non portano all’esposizione di alcun messaggio d’allerta. Attenzione in particolare al contenuto dei file compressi con 7Zip, ai formati ISO, VHD, VHDX e alla clonazione di repository GitHub.
Nel caso di 7Zip, lo storico sviluppatore del software di compressione ha abbracciato il cosiddetto Mark-of-the-Web ovvero il meccanismo che indica la provenienza dei file. La memorizzazione dell’informazione all’interno del file compresso con 7Zip resta comunque opzionale e rientra nelle facoltà di ciascun utente: da qui discende il consiglio di non abbassare mai la guardia.
Il 7 luglio 2022 Microsoft ha fatto presente che, sulla base dei riscontri ricevuti dagli utenti, non avrebbe più disattivato le macro in modo predefinito.
Ad accorgersi della novità sono stati gli utenti stessi che hanno chiesto spiegazioni nel forum di supporto.
Microsoft non ha chiarito le ragioni che hanno indotto i tecnici dell’azienda a riattivare le macro VBA.
Il 21 luglio 2022 Microsoft ha annunciato di aver nuovamente ripreso a bloccare le macro VBA: la novità arriva dopo che l’azienda ha migliorato la documentazione di supporto per utenti e amministratori semplificando la comprensione delle opzioni disponibili quando una macro viene bloccata.
Gli utenti finali possono trovare informazioni sui passaggi successivi al blocco delle macro in un documento di Office scaricato da Internet nella nuova pagina di supporto. Gli amministratori IT possono trovare documentazione dedicata nella pagina Macro da Internet vengono bloccate per impostazione predefinita nei documenti Office.
Microsoft chiarisce che la modifica non interessa le organizzazioni che non hanno mai abilitato o disabilitato l’esecuzione delle macro tramite l’uso delle policy dedicate a Office.
Gli utenti di Office che desiderano abilitare il blocco automatico delle macro di Office e non vogliono attendere che l’implementazione raggiunga i loro sistemi possono utilizzare le policy di gruppo.