Microsoft Office 2016 kann jetzt makrobasierte Malware blockieren

Microsoft hat seine Bürosoftware Office 2016 um eine „taktische“ Sicherheitsfunktion ergänzt, die Infektionen durch makrobasierte Malware verhindern soll. Administratoren können neuerdings szenarioabhängige Regeln festlegen, um Makros zu blockieren und eine erneute Aktivierung durch den Anwender in Risikosituationen zu unterbinden, etwa wenn Dokumente aus dem Internet heruntergeladen wurden.

In den Gruppenrichtlininen von Office 2016 lassen sich etwa Makros für Dokumente aus Clouddiensten wie Microsoft OneDrive, Google Drive oder Dropbox sperren. Setzt das Unternehmen Outlook und Exchange für E-Mail ein, können zusätzlich Makros in angehängten Dokumenten blockiert werden, die von firmenfremden Adressen kommen. Schließlich haben Administratoren auch die Möglichkeit, Makros für Dokumente zu unterbinden, die aus öffentlichen Quellen wie Filesharing-Websites stammen.

Wurde die Makrosperre für alle Office-Nutzer eingestellt, können sie die Sandbox „Geschützte Ansicht“ beim Öffnen eines Word-Dokuments in Outlook nicht verlassen. In diesem Modus sind Makros standardmäßig deaktiviert.

Sollte ein Anwender versuchen, den Anweisungen eines Angreifers zu folgen und den Sandbox-Modus zu verlassen, bekommt er einen roten Warnhinweis oberhalb des Dokuments angezeigt, der besagt, dass der Administrator Makros in diesem Dokument aus Sicherheitsgründen deaktiviert hat. Zudem ist er dann nicht in der Lage, die „Geschütze Ansicht“ zu verlassen.

Sollten die Richtlinien Szenarien vorsehen, in denen Makros rechtmäßig genutzt werden dürfen, müssten sich Mitarbeiter mit ihren Administratoren absprechen, um alternative Workflows zu finden, merkt Microsoft an.

Mit der neuen Sicherheitsfunktion reagiert es auf die steigende Zahl makrobasierter Malware. Zwar sind sie in Word, Excel und PowerPoint standardmäßig deaktiviert, doch Malware-Autoren verfügen über ausgefeilte Social-Engineering-Techniken, um ihre Opfer dazu zu bringen, sie wieder zu aktivieren. So nutzten etwa der Banking-Trojaner Dridex und die kürzlich verstärkt aufgetretene Ransomware Locky schädliche Makros in per E-Mail versendeten Anhängen, um Schadsoftware auf Rechnern zu installieren.

Microsoft zufolge ist die Zahl der durch makrobasierte Malware ausgelösten Infektionen in den letzten Jahren angestiegen, auch wenn es zwischenzeitlich immer wieder ruhigere Phasen gibt. Insgesamt nutzten 98 Prozent der auf Office abzielenden Bedrohungen schädliche Makros. Das Hauptrisiko geht dabei von unbedarften Nutzern aus, die allzu leicht unter einem interessanten Betreff versandte E-Mail-Anhänge öffnen.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de