阻擋惡意巨集作怪 5款微軟Office app預設不得執行VBA巨集 除非來源受到信任

過去Microsoft Office文件常隨電子郵件用來散佈惡意程式，關鍵在巨集。本周一微軟宣佈將預設關閉VBA (Visual Basic)巨集以切斷感染途徑。

在此之前，微軟雖警告使用者小心不受信任巨集的風險，但仍允許使用者手動點選以下載執行。不過現在起，包括Word、Excel、PowerPoint、Access、Visio將預設在從網路下載檔案時封鎖不受信任的巨集。微軟將從四月起部署到Microsoft 365的Current 通道，之後再部署到其他更新通道。

而且這項變更也會應用於其他Office版本包括Office LTSC、Office 2021、Office 2019、Office 2016及Office 2013，不過日期尚待決定。

像Excel之類的App會執行script和其他內容(惡意程式)以從外界匯入資料並自動處理。VBA是Excel專家很好用的工具，問題是如果從不明來源下載巨集，就無法判斷下載的是什麼東西或程式做了什麼事。

現代版Office已有巨集安全措施。例如之前版本的Office在啟動有巨集的文件時會發出警告，但巨集作者也開始利用社交工程手法，誘騙用戶開啟巨集導致感染。

技術而言，微軟是利用「Mark of the Web」封鎖來自網路的巨集。但來自受信賴的地方，或是獲得數位簽章的巨集依然可以下載。此外用戶之前開啟過的檔案巨集，或是使用者曾從「Trust Bar」選擇「啟用內容」的文件也可以執行。在這些情況下，文件被視為獲得信賴。微軟支援文件網頁也提供了企業管理巨集的規則。

微軟之前也提供管理巨集的防護功能，不過未來如何尚不得而知。例如2019年微軟宣佈應用程式防護(Application Guard)，可將不受信任的試算表或其他文件以沙箱開啟。它的原理是如果文件內含惡意程式，也會被侷限在沙箱中。微軟尚未說明這些措施未來是否還會持續或是會隨新措施而關閉。

來源: PCWorld