Considerado como uno de los cambios más importantes realizados en los últimos años, Microsoft ha anunciado este lunes que bloqueará por defecto la ejecución de macros VBA dentro de 5 aplicaciones de la Suite de Ofimática, Microsoft Office.
A partir del mes de abril, los usuarios de que utilicen Access, Excel, PowerPoint, Visio y Word no podrán habilitar la opción Macros dentro de documentos no fiables que hayan descargado de Internet. Se espera que gracias a esta nueva medida tomada por el equipo de desarrollo de Office, suponga un serio obstáculo para las diferentes bandas de actores de amenazas, cuyo trabajo para infectar un equipo, sea mediante el uso de Scripts vía Macro, para ejecutar instrucciones en segundo plano para la descarga del malware final. Una técnica muy ocupada por Dridex, Emotet, grupos patrocinados por el estado y diferentes bandas de Ransomwares.

Aunque los usuarios con ciertos conocimientos técnicos y de ciberseguridad pueden reconocer esto como un señuelo para infectarse con algún malware, muchos usuarios de Office siguen sin ser conscientes de esta técnica y acaban siguiendo proporcionadas.
En el articulo escribo en el blog, también contiene una descripción de la lógica que seguirán las 5 aplicaciones de Office a la hora de decidir si permiten o bloquean la ejecución de macros dentro de un documento.

Microsoft dijo que la decisión de bloquear las macros VBA por defecto sólo afecta a Access, Excel, PowerPoint, Visio y Word en Windows. Los documentos que contengan macros VBA que hayan sido creados y obtenidos desde dentro de la red de confianza de una organización, seguirán pudiendo ejecutarse sin problemas. El cambio se desplegará a todos los clientes de Microsoft 365 y también planea hacer un backport del cambio a otras versiones de Office, como Office LTSC, Office 2021, Office 2019, Office 2016 y Office 2013.
Una vez completada la transición, la medida afectará a la distribución de un gran número de cepas de malware básico, pero también a muchas campañas de espionaje con motivación financiera y política; sin embargo, lo más probable es que estas operaciones continúen utilizando otras técnicas.
Muchos expertos en ciberseguridad aplauden esta nueva medida que se llevará a cabo en el mes de Abril, pero también es duramente criticado debido a la tardanza de tomar esta decisión. Desde Abril, los diferentes actores de amenazas tendrás que ingeniárselas para buscar una nueva forma de eludir esta nueva valla de seguridad o buscar otras alternativas para infectar el equipo de la víctima.
Más Información

Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence