你只需要一项技术就能解决替代VBA的新兴资安威胁: Visual Studio Tools for Office (VSTO)
作者: 日期:2022年09月14日 阅:1,508

Microsoft Office 文件中的 VBA(Visual Basic for Applications)巨集长期以来一直被攻击者利用,以进入目标系统并部署恶意软体和勒索软体。如果允许自动运行,一旦使用者打开 MS 文件,攻击者便能利用巨集来执行恶意程式码。即使 Microsoft Office 已预设封锁网路 VBA 巨集,让用户无法再透过单一点击的方式执行网路巨集文件 ,但攻击者也开始利用社交工程手法,诱骗用户开启巨集导致感染。

为了帮助对抗基于巨集攻击的恶意软体,从 2022 年 7 月 27 日起,Microsoft 在五个 Office 应用程式中将预设在从网路下载档案时封锁不受信任的巨集 。

这一限制被誉为网路安全行业游戏规则改变的分水岭。但是,它真的能为 MS 用户提供安全吗?答案是不。网路犯罪分子仍然会寻找创新的方法来破解和渗透您的系统。

VSTO 攻击方式

攻击者用来替代 VBA 的新兴攻击媒介是 Visual Studio Tools for Office (VSTO),它可以导出嵌入在 Office 文档中的加载项。VSTO Office 文件使攻击者能够通过安装加载项来钓鱼用户并远程执行恶意程式码。

当VSTO Office 文件连结到使用 .NET 编写的 Visual Studio Office File 应用程式时,它能够包含有恶意目的的任意程式码,就像 VBA 一样。VSTO Office 文件可以包含参照及metadata,以便用户在打开文件后直接从 Internet 下载 VSTO 文件(.NET 应用程式)。

下面这个影片将示范VSTO Word 文件如何在受害者的设备上下载和执行有害应用程式。

OPSWAT Deep CDR(内容解除和重组)技术即可以化解此类网路攻击

考虑到每个文件都存在潜在威胁,Deep CDR 会检测并消除文件中嵌入的「所有」可疑可执行组件,以确保进入您组织的所有文件均无害。这是防止进阶规避恶意软体和零日攻击的最有效方法。

下面的影片将带您了解OPSWAT MetaDefender 如何使用 Deep CDR 来停用恶意 VSTO Word 文件。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章

没有相关文章!