Opatrně s oblíbenou funkcí kancelářských aplikací: proč je stále nebezpečná a jak se bránit?

Malou výstražnou zprávu, která se zobrazuje ve žlutém rámečku v horní části okna po otevření dokumentu staženého z internetu nebo z e-mailu, zná jistě každý uživatel kancelářské sady MS Office. Upozorňuje na to, že soubor může obsahovat viry.

Pokud nepotřebujete soubor upravovat, je z hlediska bezpečnosti samozřejmě lepší zůstat v režimu chráněného zobrazení. Uživatelé tak nemusejí dělat nic a soubor si v klidu prohlédnou ve "chráněném zobrazení" se zobrazeným žlutým pruhem. Nebo také můžete kliknou na "Aktivovat úpravy", žlutý banner zmizí a vy můžete v otevřeném dokumentu provádět libovolné změny.

Jsou dobré důvody, proč se to ale doporučuje pouze u důvěryhodných zdrojů. Zločinci zneužívají soubory aplikací Word, PowerPoint a Excel k šíření škodlivého kódu už několik let. Abychom byli přesní, konkrétně takzvaná makra.

Makra nám dokážou usnadnit práci s dokumenty, ale také dost zkomplikovat život

Makra slouží pro automatizaci činností. Typické opakující se sekvence příkazů lze shrnout do zápisu ve formě spustitelného kódu a provést v jednom kroku. Uživatel si například může do makra uložit vkládaní adres, aby to pak nemusel v každém formuláři vkládat ručně. Makra se také používají pro různé typy výpočtů nebo formátování v tabulkách Excelu.

To vše je velmi praktické a práci s kancelářskými aplikacemi to zvyšuje efektivitu. Makra ale mohou obsahovat i škodlivé příkazy a infiltrovat do počítače malware. V minulosti kyberzločinci tuto možnost často zneužívali. A to dokonce k nakažení ransomwarem, který šifruje kompletní obsah hostitelského počítače a je schopen se rozšiřovat v prostředí propojené sítě.

Jsou známy případy, kdy zaměstnanec otevřel přílohu e-mailu a v dokumentu aplikace Word kliknul na tlačítko "Aktivovat úpravy". Tímto způsobem se do prostředí sítě dostal jeden z nejnebezpečnějších programů na světě, Emotet.

Makra mohou skrývat nebezpečí i přes jejich blokaci

Zmíněné varování ve žlutém pruhu Microsoft zavedl z důvodu, že makra byla dlouhodobě považována za velmi problematická. Ve výchozím nastavení byla deaktivována před více než deseti lety. Kdo by si ale myslel, že je problém vyřešen, dopustil by se omylu.

Mnoho uživatelů bez opatrnosti kliká na povolení úprav anebo povolení maker i nadále, a to i přes to, že je Office zakazuje. Útočníci se navíc snaží se svými obětmi manipulovat.

Jak se můžeme chránit

Ve svých přesvědčovacích taktikách se aktéři podvodných metod snaží uživatele přimět, aby prozradili citlivé údaje nebo nainstalovali doporučovaný software, který obsahuje škodlivý kód. Bezostyšně zneužívají lidské vlastnosti, jako například vstřícnost, důvěru nebo respekt k autoritám.

Je až překvapivé, kolik lidí se takto nechá přesvědčit. Proto jsou útoky tohoto typu i v současnosti tolik populární. Také je stále obtížnější hledat bezpečnostní chyby, takže jednodušší cestou je manipulace uživatelem, tedy sociální inženýrství.

Abyste se vyhnuli náhodnému nakažení malwarem z maker, je důležité přijmout několik základních opatření. Pokud vám například kolega nebo známý pošle soubor, který jste nečekali anebo vám s ohledem na předchozí komunikaci připadá nezvyklý, přílohu bez rozmyslu neotevírejte a raději se zeptejte.

Buďte ostražití v okamžicích, kdy jste v e-mailu nebo na webových stránkách požádáni o aktivaci obsahu, například právě zahrnutých maker.

Microsoft měl snahu makra blokovat už dříve

Už dříve se opakovaně diskutovalo o standardním blokování maker, což pro uživatele znamená základní ochranu před potenciálně obsaženým malwarem. Poté v únoru 2022 Microsoft oznámil, že v aplikacích sady Office to skutečně nastaví.

Redmondská společnost ale toto opatření později zrušila. Údajným důvodem byla zpětná vazba od uživatelů. Co je ale ještě zajímavější, podle některých reakcí provedené nastavení stejně nefungovalo správně.

Bezpečnostní experti testovali verze Office, kde se už údajná blokace maker měla projevit. Jediné, co se ale stalo, bylo zobrazení upozornění ve žlutém pruhu – známá varovná zpráva, kterou šlo jednoduše odkliknout.

Současné výchozí nastavení tedy je, že makra jsou zakázaná a současně se zobrazí text v horní části okna, který informuje o potenciální rizikovosti dokumentu. Pokud by tedy šlo o škodlivý dokument, který obsahuje infikované makro automaticky spustitelné při otevření dokumentu, nestane se tak. A je na našem rozhodnutí, jak s dokumentem dále naložíme.

Zdroj: Learn Microsoft, Votiro