Microsoft bracht Excel 4.0 in 1993 uit voor Windows 3.0 en 3.1. Anno 2021 gebruiken nog altijd veel bedrijven de legacy-functionaliteit van de oude versie van Excel. Dit levert een probleem op, aangezien aanvallers op een nieuwe manier gebruik zijn gaan maken van Excel sheets en macro’s om malware af te leveren.
De legacy scripting taal van Excel drijft een recente golf van malware aan. In maart 2020 zagen beveiligingsorganisaties voor het eerst een piek in dit type aanvallen. Afgelopen maart bracht Microsoft een nieuwe runtime bescherming uit tegen Excel 4.0 macro malware. Eerder voegde Microsoft al een functie toe die Office-bestanden opent in veilige containers, wat tevens kan helpen om de gevolgen van een macro-aanval te beperken.
Hackers gebruiken creatieve tactieken om nieuwe aanvalsvectoren te bouwen. Naast aanvallen via Exel 4.0 Macro’s gebruiken hackers ook andere Excel-commando’s en API’s in hun aanvallen.
“Je kunt een kort commando in één plaats uitvoeren, en vervolgens een ander in het Excelsheet. Door te springen tussen verschillende cellen kun je een aanval creëren die moeilijk te detecteren valt”, legt Tal Leibovich van Deep Instinct uit in een presentatie over de Macro-aanvallen. Het probleem van de aanvallen is dat het een legitieme Excel-functie is waar veel organisaties gebruik van maken.
Volgens Leibovich is het een uitdaging om een goede detectietool te bouwen die dreigingen ontdekt, maar legitieme macro-toepassingen met rust laat. De belangrijkste manier om dit voor elkaar te krijgen, is via deep learning.
Hoe bescherm je je tegen macro-based malware?
Er zijn verschillende manieren waarop je jezelf kunt beschermen tegen de macro malware die momenteel veel wordt verspreid. De meest drastische manier is om alle inkomende macro-enabled en macro-embedded bestanden via e-mail en bestandsoverdracht te blokkeren.
Een andere optie is om een beleid op te stellen dat alle macro’s geblokkeerd moeten worden. Je kunt dit ook instellen als extra beveiliging voor wanneer een bestand toch door de beveiliging heen breekt. Daarnaast kun je de meeste antivirus software instellen om Macro’s te blokkeren.
Wil je toch gebruik maken van de macro-functie? Dan is het aan te raden om de functie in een virtuele desktop omgeving te draaien, zodat je de kans verkleint dat malware zich kan verspreiden en beperk je de schade van een eventuele aanval.
De belangrijkste stap om je te beschermen is om bewustzijn te creëren onder medewerkers van het bedrijf. Je wilt medewerkers opleiden over de gevaren van phishing en malware. Zo houd je de kans dat iemand een aangetast bestand opent of doorstuurt minimaal.