阻擋惡意巨集作怪 5 款微軟 Office app 預設不得執行 VBA 巨集 除非來源受到信任

過去 Microsoft Office 文件常隨電子郵件用來散佈惡意程式，關鍵在巨集。本周一微軟宣佈將預設關閉 VBA (Visual Basic) 巨集以切斷感染途徑。

在此之前，微軟雖警告使用者小心不受信任巨集的風險，但仍允許使用者手動點選以下載執行。不過現在起，包括 Word、Excel、PowerPoint、Access、Visio 將預設在從網路下載檔案時封鎖不受信任的巨集。微軟將從四月起部署到 Microsoft 365 的 Current 通道，之後再部署到其他更新通道。

而且這項變更也會應用於其他 Office 版本包括 Office LTSC、Office 2021、Office 2019、Office 2016 及 Office 2013，不過日期尚待決定。

像 Excel 之類的 App 會執行 script 和其他內容 (惡意程式) 以從外界匯入資料並自動處理。VBA 是 Excel 專家很好用的工具，問題是如果從不明來源下載巨集，就無法判斷下載的是什麼東西或程式做了什麼事。

現代版 Office 已有巨集安全措施。例如之前版本的 Office 在啟動有巨集的文件時會發出警告，但巨集作者也開始利用社交工程手法，誘騙用戶開啟巨集導致感染。

技術而言，微軟是利用「Mark of the Web」封鎖來自網路的巨集。但來自受信賴的地方，或是獲得數位簽章的巨集依然可以下載。此外用戶之前開啟過的檔案巨集，或是使用者曾從「Trust Bar」選擇「啟用內容」的文件也可以執行。在這些情況下，文件被視為獲得信賴。微軟支援文件網頁也提供了企業管理巨集的規則。

微軟之前也提供管理巨集的防護功能，不過未來如何尚不得而知。例如 2019 年微軟宣佈應用程式防護 (Application Guard)，可將不受信任的試算表或其他文件以沙箱開啟。它的原理是如果文件內含惡意程式，也會被侷限在沙箱中。微軟尚未說明這些措施未來是否還會持續或是會隨新措施而關閉。

來源: PCWorld