El 7 de febrero, Microsoft anunció un cambio inminente en su conjunto omnipresente de aplicaciones de Office.
En palabras del propio Microsoft: “Las macros de VBA obtenidas de Internet ahora estarán bloqueadas por defecto”. Se espera que el cambio comience a implementarse a principios de abril. Técnicamente hablando, las macros de VBA ya estaban "bloqueadas de forma predeterminada" antes.
El botón "aprender más" conduce a un breve artículo en el que Microsoft explica al usuario final que las macros "a menudo las utilizan personas con malas intenciones para distribuir malware a víctimas desprevenidas" y "no son necesarias para el uso diario, como leer o editar un documento en Word o utilizando libros de Excel”. Lo más importante, destaca el artículo, “ninguna empresa legítima le hará abrir un archivo de Excel para cancelar un pedido y no necesita macros solo para leer un documento en Word”.
Después de todas estas advertencias, si el usuario aún está interesado en ejecutar las macros del documento ofensivo, Microsoft proporciona un proceso de 4 pasos bajo un archivo plegable. El proceso implica guardar manualmente el archivo en el disco duro, luego buscar dentro de las propiedades del archivo y hacer clic explícitamente en una casilla de verificación titulada "desbloquear".
El auge, la caída y el auge del malware VBA
Esta decisión no se produjo en el vacío. A principios de la década de 2010, las macros en los documentos de MS-Word ganaron terreno lentamente y eventualmente se convirtieron en el vector de infección más popular para el malware cibernético promedio que vende productos básicos. Este aumento de popularidad estuvo precedido por una historia larga e inusual: de hecho, al igual que la cura para el escorbuto, el malware VBA tuvo que ser descubierto dos veces: se olvidó y se perdió en la historia después de la primera vez.
El primer documento de carga fue una prueba de concepto creada en 1994, durante la edad de piedra de los POG, los Power Rangers, la Administración Clinton y el acceso telefónico a Internet. Hasta entonces, era de conocimiento común que para infectar su computadora con un virus, necesitaba ejecutar un archivo ejecutable. Joel McNamara, un investigador, creó una prueba de concepto que rompió este molde: el primer virus de macro de documento, al que llamó DMV. Mantuvo esta innovación en secreto.
No mucho después, en 1995, un inventor desconocido replicó la hazaña con "Concept", un virus de macro que corrió tan desenfrenadamente que, a fines de 1997, supuestamente representaba la mitad de todas las infecciones de virus y, de manera infame, llegó a los CD de utilidades emitidos por Microsoft y Comunicados de prensa. “Concepto” fue afortunadamente inofensivo; simplemente generó un cuadro de diálogo extraño y, oculto en su código, contenía un mensaje conmovedor: "eso es suficiente para probar mi punto". Este brote indujo a McNamara a salir de su escondite y publicar sus hallazgos (un manifiesto que publicó sobre el tema, "Sí, puede propagar un virus con un archivo de datos", se ha conservado en línea).
Con el éxito de Concept, era solo cuestión de tiempo hasta que alguien empuñara esta nueva arma para hacer algo más destructivo. Tal fue el caso de Melissa Worm, una broma exagerada y sórdida de Some Dude de Nueva Jersey, quien en 1999 creó una macro de palabras autorreplicante, acoplada a un documento que aparentemente contenía una lista de inicios de sesión y contraseñas de sitios pornográficos, y desató esta creación. sobre los clientes desprevenidos del grupo de noticias de Usenet alt.sex. Tras la activación, el virus se envió por correo electrónico a las primeras 50 personas en la lista de contactos de la víctima. Esto generó suficiente tráfico para detener las redes y los servicios web, lo que eventualmente causó daños por $ 1.1 mil millones. El creador del virus no obtuvo nada de toda esta terrible experiencia, excepto probablemente una gran sonrisa idiota, que debe haber desaparecido cuando fue detenido y sentenciado a 20 meses en una prisión federal.
Lo que es más importante, nos encontramos con amplia evidencia de que muchos ciberdelincuentes sabían lo que estábamos haciendo. Muchas de las imágenes de "habilitación de macros" se manipularon sutilmente, lo suficiente como para que un motor de OCR no pudiera analizarlas correctamente, mientras que aún parecían perfectamente normales para el ojo humano.
¿Se terminó? ¿Estamos a salvo?
No culparíamos al lector por dudar de que esta única mitigación, de colorear una franja roja y hacer que el usuario salte a través de algunos aterradores aros de "¿Estás seguro?", Realmente eliminaría la amenaza. Si la lucrativa industria que surgió en torno a estos documentos tiene algo que decir al respecto, seguramente preferiría encontrar veinte desvíos diferentes para la mitigación y continuar como antes.
Hay una corriente de pensamiento de seguridad informática que establece que las mitigaciones son fundamentalmente inútiles. Siempre hay un bypass, y siempre habrá un actor de amenazas lo suficientemente bien motivado y bien equipado para hacer uso de él. La industria inventó las detecciones de hash y obtuvo malware polimórfico; inventó DEP y obtuvo ROP. Según esta escuela de pensamiento, no deberíamos alegrarnos aquí, sino preguntarnos con cansancio: "¿qué vamos a conseguir esta vez?".
Si bien este cinismo nos tienta, no estamos tan seguros de estar completamente de acuerdo con él. Algunos de ustedes pueden recordar a Dton, el prolífico spammer nigeriano cuyas escapadas detallamos en este blog, y que obtuvo una ganancia exorbitante enviando en masa a las personas exactamente el malware VBA de bajo nivel descrito anteriormente. Dton se enfureció y se enfureció con cada centavo de su bolsillo que tuvo que gastar en empaquetadores, máquinas virtuales, troyanos y otras herramientas del oficio; ¿Te imaginas su cara después de que le dijeran que, en realidad, el malware VBA vainilla ya no funciona y que tiene que pagar una tarifa adicional de $ 300 por una suscripción anual a 'MS Document Macro Block Bypasser Plus'? Para los Dtons del mundo, tal vez esta molestia adicional sea la gota que colmó el vaso para que algunos de ellos digan "olvídalo, solicitaré ser administrador de sistemas". Solo podemos esperar.
Referencias y Créditos:
checkpoint.com (2022, febrero 14). The Death of “Please Enable Macros” and What it Means desde: https://research.checkpoint.com/2022/the-death-of-please-enable-macros-and-what-it-means
Comments