Todos nosotros habremos usado alguna aplicación de Office para cualquier trabajo o proyecto, y además, seguro que algunos de vosotros sabréis que una forma de ejecutar malware es a través de las macros de Office y que ha sido explotado en varias ocasiones anteriormente.
La compañía de Redmond quiere cortar por lo sano este problema y por eso ha incorporado antivirus a las aplicaciones de Office.

Las aplicaciones de Office ahora serán más seguras

Las amenazas basadas en macro siempre han sido un punto de entrada frecuente para el malware, pero las continuas mejoras en la seguridad de la plataforma y las aplicaciones han llevado a la disminución de las vulnerabilidades del software, y los atacantes han encontrado un vector de infección alternativo viable en los ataques de ingeniería social que abusan de funcionalidades como las macros de VBA (Visual Basic para aplicaciones).

La forma más común en que los atacantes ocultan el malware es a través de la ofuscación del código. Los códigos fuente macro son fáciles de ocultar, y hay una gran cantidad de herramientas gratuitas disponibles para que los atacantes lo hagan de manera totalmente automática.

Office VBA se integra con AMSI

Para empezar, vamos a explicar qué es AMSI. Se refiere a Antimalware Scan Interface, es una interfaz disponible en Windows 10 para que las aplicaciones soliciten, en tiempo de ejecución, un análisis síncrono de un búfer de memoria mediante cualquier solución de seguridad que tengamos instalada. El objetivo es que cualquier aplicación pueda interactuar con AMSI y solicitar un escaneo para cualquier información que pueda no ser de confianza.

La integración de Office VBA con AMSI está compuesta de tres partes: registro del comportamiento de la macro, la activación de un análisis de comportamiento sospechoso, y la detención de una macro maliciosa tras la detección.

Office antivirus

Registro del comportamiento de la macro

El lenguaje VBA ofrece a las macros un amplio conjunto de funciones que se pueden utilizar para interactuar con el sistema operativo, para ejecutar comandos, acceder al sistema de archivos, etc. Estas interfaces están coordinadas de tal forma que el comportamiento de una macro queda atrapado y toda la información relevante, incluido el nombre de la función y sus parámetros, se registran en un búfer circular.

Las funciones, los métodos y las API invocados deben recibir los parámetros en texto sin formato para que funcionen. Por lo que el antivirus tendrá más visibilidad sobre la actividad relevante de la macro

El siguiente string ofuscado en un comando de shell se mostraría así:

Shell ("ma" + "l" + "wa" + "r" + "e.e" + "xe")

Con la integración de Office VBA y AMSI, se mostraría de esta otra manera:

Shell ("malware.exe")

Activación de un análisis

Cuando se invoque una función de alto riesgo (CreateProcess o ShellExecute), Office detendrá la ejecución de la macro y solicitará un análisis del comportamiento de la macro registrado hasta ese momento, a través de la interfaz AMSI. El proveedor de AMSI se invocaría de forma síncrona y devolvería un informe sobre si el comportamiento observado es malicioso o no.

Detención de una macro sospechosa

Si el comportamiento es evaluado como malicioso, se detiene la ejecución de macro. La aplicación de Office notifica al usuario y la sesión de la aplicación se cierra para evitar daños adicionales.

Si usamos la configuración predeterminada, las macros en ejecución se escanearán a través de AMSI, excepto en los siguientes casos:

  • Documentos abiertos cuando tengamos la configuración de seguridad de macros como: “Habilitar todas las macros”.
  • Documentos abiertos desde ubicaciones de confianza.
  • Documentos de confianza.
  • Documentos que contienen VBA, pero están firmados digitalmente por un editor de confianza.

Disponibilidad

La integración de AMSI está disponible y activada de forma predeterminada en el Canal mensual para las aplicaciones de Office 365, entre las que se incluyen Word, Excel, PowerPoint, Access, Visio y Publisher.

¿Qué os parece esta novedad? ¿Usáis Office de forma continua?