Uno de los métodos utilizados por los atacantes para la distribución de malware es la inclusión de macros VBA (Visual Basic for Applications, por sus siglas en inglés) en documentos maliciosos. Este vector de ataque ha sido utilizado en campañas de phishing que buscan comprometer la información de los usuarios. Un ejemplo de ello es la campaña para la distribución del malware conocido como Emotet. Esta consiste en el envío de correos electrónicos con documentos adjuntos del tipo Word o Excel. Al abrir estos documentos, utiliza algunos trucos para engañar a los usuarios para habilitar las macros, lo cual daría paso a la descarga del malware.

Como medida para combatir este tipo de ataques, Microsoft tiene planeado deshabilitar de forma predeterminada las macros VBA que provengan de internet. Office reconoce cuales documentos han sido descargados de internet al revisar si tienen la etiqueta MoTW (Mark of the Web, por sus siglas en inglés). En el caso de que la etiqueta esté presente, Office abre el documento en el modo de solo lectura, bloqueando con ello las macros contenidas. Sin embargo, el usuario puede habilitarlas al dar clic sobre el botón “Habilitar Contenido” que aparece en la parte superior del documento una vez que es abierto. La medida propuesta por Microsoft para prevenir que esto ocurra es quitar dicha funcionalidad, y en su lugar incluir un mensaje junto con un botón para redirigir a los usuarios a un artículo donde se explican los riesgos de seguridad que implica el uso de macros potencialmente peligrosas. Asimismo, dicho artículo provee una explicación de como habilitar las macros si el usuario realmente desea desbloquearlas en el archivo.

Este cambio está previsto para las aplicaciones Access, Excel, PowerPoint, Visio y Word e impactará a aquellos dispositivos que tengan Windows como sistema operativo. El cambio está planeado para inicios de abril del presente año y será implementado en la versión 2203, iniciando con el canal actual (vista previa). Más adelante, el cambio estará disponible en los demás canales de actualización según lo informado en el blog de Microsoft 365.

Referencia:
https://techcommunity.microsoft.com/t5/microsoft-365-blog/helping-users-stay-safe-blocking-internet-macros-by-default-in/ba-p/3071805
https://docs.microsoft.com/es-es/DeployOffice/security/internet-macros-blocked
https://support.microsoft.com/es-es/topic/se-ha-bloqueado-una-macro-potencialmente-peligrosa-0952faa0-37e7-4316-b61d-5b5ed6024216
https://www.sans.org/newsletters/newsbites/xxiv-11/
https://www.zdnet.com/article/microsoft-to-make-enabling-untrusted-office-macros-tougher-in-the-name-of-security/
https://www.bleepingcomputer.com/news/microsoft/microsoft-plans-to-kill-malware-delivery-via-office-macros/
https://www.theregister.com/2022/02/08/microsoft_office_default_macro_block/
https://www.bleepingcomputer.com/news/security/emotet-malwares-new-red-dawn-attachment-is-just-as-dangerous/