Хотя в начале этого года Microsoft объявила, что будет по умолчанию блокировать макросы VBA в загруженных документах, в четверг Редмонд заявил, что отменит это изменение на основании “отзывов” до дальнейшего уведомления.
Компания также не объяснила причину такого решения и пока не сообщила публично клиентам, что макросы VBA, встроенные во вредоносные документы Office, больше не будут автоматически блокироваться в Access, Excel, PowerPoint, Visio и Word.
“Основываясь на отзывах, мы откатываем это изменение с Текущего канала”, – уведомила компания администраторов в центре сообщений Microsoft 365 (под номерами MC393185 или MC322553) в четверг.
“Мы ценим отзывы, которые мы получили до сих пор, и мы работаем над улучшением этого опыта. Мы предоставим еще одно обновление, когда будем готовы снова выпустить Current Channel. Спасибо”.
Изменение начало распространяться в версии 2203, начиная с Current Channel (Preview) в начале апреля 2022 года, а общая доступность будет достигнута в июне 2022 года, как ранее сообщал BleepingComputer.
Это долгожданное изменение, поскольку макросы VBA являются популярным методом распространения широкого спектра вредоносных программ (включая Emotet, TrickBot, Qbot и Dridex) посредством фишинговых атак с вложениями вредоносных документов Office.
Поскольку макросы VBA блокируются по умолчанию, все ожидали, что атаки с доставкой вредоносного ПО (например, троянов для кражи информации и вредоносных инструментов, используемых группами вымогателей) будут автоматически пресекаться.
В системах, где включена автоматическая блокировка макросов VBA, пользователи видят предупреждение безопасности “РИСК БЕЗОПАСНОСТИ: Microsoft заблокировала выполнение макросов, поскольку источник этого файла является недоверенным”.
При нажатии на кнопку предупреждение отправляет пользователей на статью, содержащую информацию о рисках безопасности, связанных с использованием макросов Office субъектами угроз, и инструкции по включению этих макросов в случае крайней необходимости.
Сбитые с толку пользователи просят объяснений, большей прозрачности
Пользователи Microsoft первыми заметили, что Microsoft откатила это изменение в Текущем канале в среду, при этом старые кнопки “Включить редактирование” или “Включить содержимое” отображались в верхней части загруженных документов Office со встроенными макросами.
“Мне кажется, или Microsoft откатила это изменение в Текущем канале?” – спросил один из пользователей Microsoft Office в комментариях к февральскому сообщению в блоге Microsoft об отключении макросов VBA.
“Такое ощущение, что совсем недавно что-то отменило это новое поведение по умолчанию… может быть, Microsoft Defender отменяет блокировку?”.
“На основании полученных отзывов начался откат. Обновление об откате находится в процессе разработки”, – ответила Анжела Робертсон, главный GPM по идентификации и безопасности в команде Microsoft 365 Office.
“Я приношу извинения за неудобства, связанные с тем, что откат начался до того, как стало доступно обновление об этом изменении”.
Другой клиент пожаловался на “отсутствие связи” со стороны Microsoft после объявления об этом изменении и попросил компанию поделиться дополнительной информацией об этом откате “в другом месте”.
“Ваш стандартный SMB и даже средний бизнес просто взорвется, если это будет реализовано в текущей форме”, – сказал клиент.
“Похоже, что сейчас вы ориентируетесь на предприятия, которые имеют очень большие команды людей для управления вашими продуктами, а это просто не тот случай для большинства пользователей. Перед выпуском продукта его нужно упростить, а главное – эффективно донести до пользователей”.
“Откат недавно реализованного изменения в поведении по умолчанию без хотя бы объявления о предстоящем откате – это очень плохое управление продуктом”, – добавил другой пользователь.
Хотя Microsoft не поделилась негативными отзывами, которые привели к откату этого изменения, пользователи сообщили, что они не могут найти кнопку Unblock для удаления Mark-of-the-Web из загруженных файлов, что делает невозможным включение макросов.
По мнению других администраторов, это решение создало проблемы для конечных пользователей, которым будет обременительно разблокировать файлы, которые они загружают каждый день, а то и несколько раз в день.
Меня тут сервисный центр Haval в СПб заинтересовал, мне кажется такая информация порадует и заинтересует очень многих. По этому, если вам это интересно, то стоит обязательно посмотреть.