Microsoft parece revertir el bloqueo de macros de VBA

Microsoft parece haber revertido en silencio y sin fanfarria una política de febrero de 2022 para bloquear las macros de Visual Basic para aplicaciones (VBA) de forma predeterminada en cinco de las aplicaciones de Office más utilizadas, citando comentarios negativos de los usuarios.

La nueva política se introdujo inicialmente sobre la base de que al hacer imposible que los usuarios habiliten macros al hacer clic en un botón lanzando clics adicionales y recordatorios en su camino, sería más difícil para los actores de amenazas engañarlos para abrir archivos adjuntos maliciosos. que contienen cargas útiles de malware. El cambio se realizó, al menos en parte, debido a la prevalencia actual del trabajo remoto.

Sin embargo, como informó por primera vez Bleeping Computer, Redmond ahora parece haber frenado la política y ha comenzado una reversión, que aún puede resultar temporal.

La reversión fue detectada por primera vez por los usuarios de Microsoft desconcertados sobre por qué la antigua advertencia de seguridad había reaparecido en los documentos que contenían macros de VBA, a diferencia del nuevo aviso de bloqueo al que se estaban acostumbrando.

El usuario con sede en el Reino Unido, Vince Hardwick, fue el primero en consultar el cambio en los foros de la comunidad tecnológica de Microsoft después de tener dificultades al intentar demostrar la nueva política para un video de YouTube que estaba haciendo.

En respuesta a la consulta de Hardwick en los foros, Angela Robertson, directora de GPM de Microsoft 365 Office Product Group para identidad y seguridad, dijo: “Según los comentarios recibidos, ha comenzado una reversión. Hay una actualización sobre la reversión en curso. Pido disculpas por cualquier inconveniente de la reversión que comenzó antes de que la actualización sobre el cambio estuviera disponible”.

Otros usuarios, incluido Hardwick, expresaron su frustración porque Microsoft no les había comunicado la reversión.

La naturaleza de los comentarios a los que se refirió Robertson no está clara, pero si la decisión de revertir se basa realmente en los comentarios de los usuarios, es poco probable que sean los comentarios de la comunidad de seguridad, que en general acogió con agrado la medida con la esperanza de que mejoraría. la seguridad de la organización al cortar una forma fácil para que los delincuentes cibernéticos establezcan el acceso inicial a sus objetivos, es decir, enviándoles documentos u hojas de cálculo maliciosos por correo electrónico.

Los expertos en seguridad ya han respondido, describiendo el movimiento de Microsoft como una “idea terrible” y una “decisión extraña”:

En el corto período transcurrido desde que comenzó a implementarse el cambio, se ha acumulado mucha evidencia de que el cambio estaba obligando a los actores de amenazas a evolucionar sus tácticas, técnicas y procedimientos (TTP).

A fines de abril, Proofpoint informó que el grupo detrás de la red de bots Emotet había recurrido al uso de URL de OneDrive contaminadas en lugar de archivos adjuntos habilitados para macros, probablemente porque el bloqueo de macros de manera predeterminada dificulta que el usuario promedio caiga en la trampa.

Luego, en junio, Check Point informó que Snake Keylogger estaba aumentando sus gráficos de amenazas mensuales luego de una serie de campañas de correo electrónico novedosas que lo vieron distribuido en un archivo PDF contaminado; históricamente, Snake había llegado en documentos de Word u hojas de cálculo de Excel.

Computer Weekly se puso en contacto con Microsoft para buscar más aclaraciones sobre la naturaleza de la reversión, pero no había recibido una respuesta en el momento de escribir este artículo.