O Retorno das Macros

A Microsoft revogou sua decisão de bloquear macros por padrão. Discutimos as implicações da cibersegurança para as empresas.

Uma das formas mais comuns de espalhar malwares é adicionar comandos maliciosos a macros em documentos. Na grande maioria dos casos, isso significa macros para arquivos do Microsoft Office. Ou seja, para documentos do Word, planilhas do Excel ou apresentações do Power Point. O funcionário médio da empresa lida com muitos desses arquivos todos os dias.

Este problema existe há mais de 20 anos, então uma solução está, no mínimo, bastante atrasada. Em fevereiro deste ano, a Microsoft anunciou sua intenção de bloquear a execução de macros em documentos baixados da internet. No entanto, já no início de julho, os usuários do Microsoft Office perceberam que essa inovação havia sido revertida. No momento da publicação, a empresa ainda não havia divulgado uma declaração oficial sobre a decisão, embora um porta-voz tenha observado que era temporária e “baseada em feedback”. De qualquer forma, este é um bom momento para lembrar o que são exatamente as macros, como elas podem ser ruins para a cibersegurança corporativa e como se proteger contra essa ameaça.

O que são macros e por que elas são perigosas?

Muitas vezes, os usuários do Microsoft Office precisam automatizar vários processos. Para isso, você pode programar um determinado algoritmo ou sequência de ações, conhecido como macro. Um exemplo simples: um contador elabora um relatório padrão todo mês; para economizar tempo, eles criam uma macro para destacar automaticamente os nomes dos clientes na segunda coluna em negrito.

As macros são criadas em VBA (Visual Basic for Applications), que é uma linguagem de programação bastante simplificada. E, como sempre acontece, os invasores podem usá-la para seus próprios interesses.

Vale a pena notar aqui que a familiaridade com macros implica um conhecimento bastante profundo do pacote Office, que nem todos os funcionários têm, não importa o que escrevam em seus currículos. Alguns nem sabem que existem macros. Os cibercriminosos, por outro lado, usam macros não para criar algoritmos inofensivos para automatizar rotinas, mas para comandos maliciosos.

Como elas funcionam?

Um ataque típico a uma empresa começa com o envio em massa de e-mails maliciosos aos funcionários. Essas mensagens podem parecer ofertas de emprego, notícias da empresa, faturas de contratos, informações sobre concorrentes e assim por diante. O nível de sofisticação é limitado apenas pela imaginação dos criminosos. O objetivo principal é fazer com que o destinatário abra o arquivo anexado ou baixe um documento clicando no link fornecido e abrindo-o.

O que os cibercriminosos precisam é que a macro maliciosa no arquivo seja executada. Muitos anos atrás, macros incorporadas seriam executadas automaticamente, mas a Microsoft limitou essa funcionalidade para que agora, ao abrir um arquivo baixado online, o usuário seja informado de que as macros estão desabilitadas.

Alerta de segurança do Microsoft Word “Macros foram desabilitadas”

Então, problema resolvido, certo? Não exatamente. Muitos usuários clicam no botão Ativar conteúdo sem pensar, permitindo a execução automática dessas macros, o que abre a porta para malwares. É assim que os invasores geralmente obtêm acesso à infraestrutura da empresa-alvo. Além disso, como mencionado acima, a maioria dos funcionários não tem ideia dos problemas que um clique inocente no botão Ativar Conteúdo pode acarretar.

At long last, Microsoft took the only right decision — not to give the user a choice, but to block macros in downloaded files by default. The entire infosec expert community welcomed the news, and the innovation was implemented in early April of this year. Instead of a button, users saw a security warning with a link to a post about the dangers of macros. But the joy was short-lived — the change was rolled back shortly afterward.

Finalmente, a Microsoft tomou a única decisão certa – não dar ao usuário uma escolha, mas bloquear macros em arquivos baixados por padrão. Toda a comunidade de especialistas em segurança da informação recebeu bem a notícia e a inovação foi implementada no início de abril deste ano. Em vez de um botão, os usuários viram um aviso de segurança com um link para um post sobre os perigos das macros. Mas a alegria durou pouco – a mudança foi revertida pouco depois.

Como se proteger?

Os administradores de TI de grandes empresas sempre foram capazes de desabilitar macros no nível da política de segurança. Portanto, se seus fluxos de trabalho não exigem o uso de macros, recomendamos fazer o mesmo. Se você fizer isso, um usuário que abre um documento com uma macro verá um aviso diferente:

Notificação do Microsoft Word “Macros foram desabilitadas pelo seu administrador”.

Se esta opção não estiver disponível para você por algum motivo, até que a Microsoft reintroduza o bloqueio padrão de macros em arquivos baixados, é vital proteger todos os dispositivos de trabalho com [KESB placeholder] soluções de segurança confiáveis [/KESB placeholder]. Além disso, recomendamos treinar todos os funcionários da empresa nos fundamentos da cibersegurança, com foco nos seguintes pontos principais:

  • Nunca baixe e abra arquivos inesperados, mesmo que pareçam vir de uma pessoa ou organização em quem você confia. É possível que tenham sido enviados por golpistas.
  • Não concorde cegamente com a ativação de conteúdo em arquivos baixados da Internet ou recebidos por e-mail. Para visualização de conteúdos normais, isso não deve ser necessário.
  • Se alguém em um e-mail ou em um site solicitar que você ative o conteúdo, desconfie.

Ameaças avançadas, identicadas ou não

Dicas
Inscreva-se para receber nossos destaques em seu e-mail