Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Microsoft deshabilita las macros de Excel 4.0 XLM por defecto para bloquear malware


Microsoft ha anunciado que las macros de Excel 4.0 (XLM) ahora estarán deshabilitadas de forma predeterminada para proteger a los clientes de documentos maliciosos.

 


Las macros en Excel del tipo 4.0 (también llamadas XLM) permitían insertar instrucciones de programación directamente en las celdas. Las otras, las macros “normales” estaban creadas en código VBA y se compilaban y guardaban en binario en el Excel sin poder verse. Cuando los atacantes redescubrieron este estándar 4.0 de 1993, consiguieron eludir todas las restricciones hasta el momento. Y lo han estado haciendo desde hace unos 5 años hasta ahora, que Microsoft las ha deshabilitado por defecto.

Este es el último paso contra este tipo de macros. El primero fue en julio de 2021 cuando se introdujo este tipo de macros en el flujo de AMSI, esto es, su ejecución al vuelo se analizaría por un antivirus.

Paralelamente se añadió una opción en Excel para que se pudiera habilitar las macros 4.0 y que se comportasen con la misma configuración que las VBA normales. Este botón se puso con la intención inmediata (antes de final de 2021, se dijo) de deshabilitarlas por defecto y tener que habilitarlas con esa opción. Ahora en enero se deshabilitan por fin por defecto y quien las necesite (pocos las echarán de menos, solo los atacantes) podrá habilitarlas desde esta opción.

En octubre, la compañía reveló por primera vez en una actualización del centro de mensajes de Microsoft 365 que  deshabilitaría las macros XLM para todos   si los usuarios o administradores no habían activado o desactivado manualmente la función.

A partir de julio de 2021 , los administradores de Windows también pueden usar las políticas de grupo y los usuarios la configuración «Habilitar macros XLM cuando las macros VBA están habilitadas» del Centro de confianza de Excel para deshabilitar esta función manualmente.

 


«En julio de 2021, lanzamos una nueva opción de configuración del Centro de confianza de Excel para restringir el uso de macros de Excel 4.0 (XLM)», dijo Catherine Pidgeon, directora principal de programas en Microsoft, a principios de esta semana en una publicación de blog de Tech Community.

«Tal como estaba previsto, hemos hecho que esta configuración sea la predeterminada al abrir macros de Excel 4.0 (XLM). Esto ayudará a nuestros clientes a protegerse contra las amenazas de seguridad relacionadas».

Los administradores pueden configurar cómo se permite que se ejecuten las macros de Excel mediante la configuración de la política de grupo, las políticas de la nube y las políticas de ADMX.

 



También pueden bloquear todo el uso de macros XLM de Excel en sus entornos (incluidos los nuevos archivos creados por el usuario) activando la directiva de grupo «Evitar que Excel ejecute macros XLM», configurable mediante el Editor de directivas de grupo o la clave de registro.

 


 

En este momento, las macros XLM están deshabilitadas de forma predeterminada en la bifurcación de septiembre, Excel versión 16.0.14527.20000 y más reciente disponible en:

  • Canal actual compila 2110 o superior (lanzado por primera vez en octubre)
  • Mensual Enterprise Channel compila 2110 o superior (lanzado por primera vez en diciembre)
  • El canal empresarial semestral (versión preliminar) compila 2201 o más (primer envío en marzo de 2022)
  • El canal empresarial semestral compila 2201 o más (se enviará en julio de 2022)

 Documento XLS con macro ofuscada de Excel 4.0

Las macros XLM (también conocido como Excel 4.0)  eran el formato de macro de Excel predeterminado hasta que se lanzó Excel 5.0 en 1993, cuando Microsoft introdujo por primera vez las macros VBA , que siguen siendo el formato predeterminado.

Sin embargo, a pesar de haber sido descontinuado, los actores de amenazas todavía usan XLM tres décadas después para crear documentos que implementan malware o realizan otro comportamiento malicioso manipulando archivos en el sistema de archivos local porque las versiones actuales de Microsoft Office aún son compatibles con macros XLM.

Se han observado campañas maliciosas que usan este tipo de macros para enviar malware descargando e instalando  TrickBot ,  Zloader ,  Qbot ,  Dridex y muchas otras cepas en las computadoras de las víctimas.

Microsoft también agregó silenciosamente una Política de grupo en octubre de 2019 que permite a los administradores bloquear a los usuarios de Excel para que no abran archivos de Microsoft Query no confiables (y potencialmente maliciosos) con extensiones IQY, OQY, DQY y RQY.

Dichos archivos se han utilizado como armas en numerosos ataques maliciosos para entregar  troyanos de acceso remoto  y  cargadores de malware  desde principios de 2018.

 Fuentes:

https://www.bleepingcomputer.com/news/microsoft/microsoft-disables-excel-40-macros-by-default-to-block-malware/

https://t.me/s/cybersecuritypulse/327


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.