Libero
SICUREZZA INFORMATICA

Microsoft Office ha una nuova arma contro i virus

Dal 1992 Excel contiene una porta d'accesso a virus di ogni tipo, Microsoft l'ha finalmente chiusa.

macro excel virus Fonte foto: PixieMe / Shutterstock

Microsoft Office è pronta a combattere i virus informatici con una nuova arma. Attraverso un’azione mirata dedicata alla suite Office 365, l’azienda di Redmond punta a bloccare le infezioni da malware veicolate tramite le macro, grazie all’integrazione di AMSI in una versione ancora più potente di quanto visto in passato.

Gli attacchi malware sono ormai all’ordine del giorno, arma preferita dagli hacker di tutto il mondo già dall’inizio degli anni ‘90. Con il tempo, però, i cybercriminali hanno affinato le loro tecniche, sfruttando le vulnerabilità dei sistemi così come la distrazione degli utenti. Infatti, proprio su Office la maggior parte degli attacchi arriva da parte di email di phishing che, mascherando il mittente reale o assumendo l’aspetto di fonti di fiducia, diffondono file dal contenuto malevolo. Una volta scaricato l’allegato, le macro nascoste al loro interno si collegano rapidamente al server remoto, scaricando diverse tipologie di virus che mettono a repentaglio non solo la macchina ospite ma anche i dati personali del malcapitato di turno salvati su di essa.

Microsoft Office, l’arma contro i malware

Per combattere i malware che possono insinuarsi nel computer attraverso gli allegati Office, Microsoft ha migliorato l’integrazione tra AMSI (Antimalware Scan Interface) e la suite Office 365. Tra le nuove capacità di AMSI, infatti, è presente anche quella che consente di effettuare scansioni sulle macro di Excel 4.0 XLM.

L’azienda aveva già previsto l’integrazione tra l’interfaccia di scansione antimalware e Office 365, dando involontariamente il via a una nuova ondata di infezioni ancora più perniciose. Consentendo il blocco degli script realizzati in VBA (Visual Basic for Applications), aveva lasciato una porta aperta agli hacker non bloccando il linguaggio macro più vecchio, chiamato XLM, introdotto da Excel 4.0 nel lontano 1992.

Microsoft contro i virus, come funziona AMSI

AMSI consente l’integrazione tra i software e gli antivirus su sistema operativo Windows, in modo da permettere l’individuazione di contenuto malevolo negli script presenti all’interno dei documenti di Office.

Nel caso specifico, quando l’antivirus riconosce la presenza di macro in formato XLM contenenti codice potenzialmente pericoloso, Excel viene chiuso in maniera immediata terminando così l’attacco prima che possa essere portato a termine.

Microsoft Office, il perché del supporto a XLM

XLM è stato sostituito da VBA nel 1993 ma, grazie al suo potenziale, viene ancora utilizzato da molti utenti in ambito aziendale; tale motivo ha spinto Microsoft a mantenere il supporto all’interno di Excel. L’introduzione nel 2018 della scansione di VBA tramite AMSI ha, di fatto, reso meno efficaci le tecniche di offuscamento delle macro, “esponendo il codice dannoso a livelli di controllo migliorati“, come afferma la stessa Microsoft in un post sul blog ufficiale.

Il team di sicurezza dell’azienda ha poi spiegato il perché dell’utilizzo di XLM nel 2021: “Sebbene sia più rudimentale di VBA, XLM è abbastanza potente da fornire l’interoperabilità con il sistema operativo e molte organizzazioni e utenti continuano a utilizzare la sua funzionalità per scopi legittimi. I criminali informatici lo sanno e hanno abusato, sempre più frequentemente, delle macro XLM per le chiamate alle API Win32 e l’esecuzione dei comandi della shell“.