Generell beschreiben Makros eine Reihe von Aufgaben, die mit einem Befehl nacheinander ausgeführt werden. Makros werden bis heute, bspw. in Microsoft Excel, zur Vereinfachung von Aufgaben verwendet. Gerade hier werden diese aber auch immer mehr zum Sicherheitsrisiko. Microsoft hat nun in mehreren Schritten reagiert.
Excel 4.0 Makros (xlm)
Im Juli 2021 hat Microsoft neue Einstellungen im Trust Center von Excel ergänzt.
Die Einstellung „Excel 4.0-Makros aktivieren, wenn VBA-Makros aktiviert sind“ wurde ergänzt. Hierüber konnte man nun separat entscheiden ob zusätzlich zu VBA-Makros (hierzu später noch mehr) die Excel 4.0 Makros aktiviert werden sollen. Standardmäßig sind diese mittlerweile deaktiviert.
Und hier auch die klare Empfehlung von Microsoft „we recommend unchecking the setting to disable XLM macros“.
Mehr hierzu gibt es in den folgenden Artikeln:
Restrict usage of Excel 4.0 (XLM) macros with new macro settings control – Microsoft Tech Community
Excel 4.0 (XLM) macros now restricted by default for customer protection – Microsoft Tech Community
Administratoren haben die Möglichkeit die Makro-Einstellungen auch global für alle Anwender zu definieren.
VBA-Makros
Makros die per VBA erstellt wurden, waren bisher von den Standardeinstellungen nicht betroffen.
Hier gab es nun jedoch kürzlich (Februar 2022) auch Neuigkeiten von Microsoft:
„VBA macros obtained from the internet will now be blocked by default.”
Die Anwender werden künftig mehr Schritte ausführen müssen, um Makros in Dateien aus dem Internet ausführen zu können.
Administratoren haben jedoch auch hier mehre Möglichkeiten. Microsoft stellt diese in einem „Evaluation flow“ für Office Dateien dar.
Dieser startet mit der Datei. Hier geht es nun darum, ob diese das MOTW „Mark of the Web Attribut“ gesetzt hat. Das MOTW Attribut setzt Windows, wenn die Datei von einer nicht vertrauenswürdigen Stelle stammt. Im weiteren Verlauf wird geprüft, ob das Makro digital signiert ist und wie die Sicherheitseinstellungen gesetzt sind. Bleibt es dabei, dass dem Dokument „nicht vertraut“ wird, wird das Makro zunächst geblockt.
Die Änderungen werden voraussichtlich Anfang April im Current Channel veröffentlicht.
Und nun?
Microsoft ergreift hiermit wichtige Schritte, um die Ausführung von Schadsoftware aus dem Internet weiter zu verhindern. Administratoren sollten sich früh genug hiermit auseinandersetzen, falls in der Anwenderschaft vermehrt Makros eingesetzt werden.
Weitere Empfehlungen und Security Level werden hier von Microsoft beschrieben:
Macros from the internet are blocked by default in Office – Deploy Office | Microsoft Docs
Makros sind und bleiben ein Sicherheitsrisiko. Was wirklich hilft sind digitale Signaturen oder ein Verzicht auf Makros. Unsere Experten aus dem Systemhaus können mit Analysen mit dem Office Telemetrie Server und mit einer PKI sowie einem Signaturprozess unterstützen.