Microsoft ha anunciado que las macros de Excel 4.0 (XLM) ahora estarán deshabilitadas de forma predeterminada para proteger a los clientes de documentos maliciosos.
En octubre, la compañía reveló por primera vez en una actualización del centro de mensajes de Microsoft 365 que deshabilitaría las macros XLM para todos si los usuarios o administradores no habían activado o desactivado manualmente la función.
A partir de julio de 2021 , los administradores de Windows también pueden usar las políticas de grupo y los usuarios la configuración «Habilitar macros XLM cuando las macros VBA están habilitadas» del Centro de confianza de Excel para deshabilitar esta función manualmente.
«En julio de 2021, lanzamos una nueva opción de configuración del Centro de confianza de Excel para restringir el uso de macros de Excel 4.0 (XLM)», dijo Catherine Pidgeon, directora principal de programas en Microsoft, a principios de esta semana en una publicación de blog de Tech Community.
«Tal como estaba previsto, hemos hecho que esta configuración sea la predeterminada al abrir macros de Excel 4.0 (XLM). Esto ayudará a nuestros clientes a protegerse contra las amenazas de seguridad relacionadas».
Los administradores pueden configurar cómo se permite que se ejecuten las macros de Excel mediante la configuración de la política de grupo, las políticas de la nube y las políticas de ADMX.
También pueden bloquear todo el uso de macros XLM de Excel en sus entornos (incluidos los nuevos archivos creados por el usuario) activando la directiva de grupo «Evitar que Excel ejecute macros XLM», configurable mediante el Editor de directivas de grupo o la clave de registro.
En este momento, las macros XLM están deshabilitadas de forma predeterminada en la bifurcación de septiembre, Excel versión 16.0.14527.20000 y más reciente disponible en:
- Canal actual compila 2110 o superior (lanzado por primera vez en octubre)
- Mensual Enterprise Channel compila 2110 o superior (lanzado por primera vez en diciembre)
- El canal empresarial semestral (versión preliminar) compila 2201 o más (primer envío en marzo de 2022)
- El canal empresarial semestral compila 2201 o más (se enviará en julio de 2022)
Documento XLS con macro ofuscada de Excel 4.0
Las macros XLM (también conocido como Excel 4.0) eran el formato de macro de Excel predeterminado hasta que se lanzó Excel 5.0 en 1993, cuando Microsoft introdujo por primera vez las macros VBA , que siguen siendo el formato predeterminado.
Sin embargo, a pesar de haber sido descontinuado, los actores de amenazas todavía usan XLM tres décadas después para crear documentos que implementan malware o realizan otro comportamiento malicioso manipulando archivos en el sistema de archivos local porque las versiones actuales de Microsoft Office aún son compatibles con macros XLM.
Se han observado campañas maliciosas que usan este tipo de macros para enviar malware descargando e instalando TrickBot , Zloader , Qbot , Dridex y muchas otras cepas en las computadoras de las víctimas.
Microsoft también agregó silenciosamente una Política de grupo en octubre de 2019 que permite a los administradores bloquear a los usuarios de Excel para que no abran archivos de Microsoft Query no confiables (y potencialmente maliciosos) con extensiones IQY, OQY, DQY y RQY.
Dichos archivos se han utilizado como armas en numerosos ataques maliciosos para entregar troyanos de acceso remoto y cargadores de malware desde principios de 2018.
Fuentes:
Fuente obtenida de: https://blog.elhacker.net/2022/01/microsoft-deshabilita-las-macros-de-excel-4-xlm-por-defecto-evitar-malware.html
