Microsoft Office 365 obtiene protección contra macros XLM maliciosas

Microsoft ha agregado protección de macros XLM para los clientes de Microsoft 365 al expandir la defensa en tiempo de ejecución proporcionada por la integración de Office 365 con Antimalware Scan Interface (AMSI) para incluir el escaneo de macros de Excel 4.0 (XLM).

AMSI fue presentado en 2015y desde entonces ha sido adoptado por todos los principales productos antivirus disponibles para la plataforma Windows 10.

Permite que los servicios y aplicaciones de Windows 10 se comuniquen con productos de seguridad y soliciten análisis en tiempo de ejecución de datos potencialmente peligrosos.

Esto le permite exponer intenciones maliciosas incluso si están ocultas mediante una gran ofuscación y detectar y bloquear el malware que abusa de las macros de Office VBA y el código de PowerShell, JScript, VBScript, MSHTA / Jscript9, WMI o .NET, que se utilizan regularmente para distribuir la carga útil de malware a través de las macros de documentos de Office. .

Microsoft por primera vez extendió el soporte para su Interfaz de escaneo antimalware (AMSI) a las aplicaciones cliente de Office 365 en 2018 para defender a los clientes contra ataques mediante macros VBA.

"La reciente instrumentación de AMSI en XLM aborda directamente el aumento de las campañas de malware que abusan de esta funcionalidad", dijo Microsoft.

"Debido a que AMSI es una interfaz abierta, otras soluciones antivirus pueden aprovechar la misma visibilidad para mejorar la protección contra amenazas".

Desde que AMSI comenzó a permitir que las aplicaciones de Office 365 bloqueen macros VBA maliciosas, atacantes como los que están detrás de Trickbot, Zloader y Ursnif han cambiado al uso de malware basado en XLM para evadir los análisis estáticos e infectar sus objetivos con malware.

"Si bien es más rudimentario que VBA, XLM es lo suficientemente potente como para brindar interoperabilidad con el sistema operativo, y muchas organizaciones y usuarios continúan usando su funcionalidad para propósitos legítimos", dijo Microsoft.

"Los ciberdelincuentes saben esto y han abusado de las macros XLM cada vez con más frecuencia para llamar a las API de Win32 y ejecutar comandos de shell".

Con esta última mejora de Office 365, las soluciones antivirus como Microsoft Defender Antivirus pueden detectar macros XLM maliciosas y evitar que el malware las use en su camino.

También les permite detectar una gama más amplia de malware e imponer restricciones más granulares sobre lo que pueden hacer las macros en tiempo de ejecución.

"La visibilidad proporcionada por AMSI conduce a mejoras significativas en firmas genéricas y resistentes que pueden detener oleadas de variantes de amenazas ofuscadas y mutadas", Microsoft adicional.

"Los administradores ahora pueden usar el verificador de políticas de aplicaciones de Microsoft 365 existente para configurar el análisis en tiempo de ejecución de AMSI de macros XLM y VBA".

Los administradores pueden descargar los archivos de plantilla de directiva de grupo más recientes para aplicaciones de Microsoft 365 desde Centro de descarga de Microsoft 365.