Microsoft schafft Makroblockierung in Office wieder ab

Das Gegenteil von gut ist gut gemeint. Office-Makros sollten Anwendern die Büro-Arbeit erleichtern, wurden aber schnell von Hackern ausgenutzt. Im April hat Microsoft deshalb Makros standardmäßig blockiert, dies jetzt aber in einer absolut unverständlichen und törichten Entscheidung wieder aufgehoben.

Seit April blockierte Microsoft standardmäßig VBA-Makros, die aus dem Internet in Office-Anwendungen auf Windows-Geräten stammen. Zu den betroffenen Anwendungen gehören Excel, PowerPoint, Visio und Word.

Microsoft startete die Makro-Blockierung im Current Channel (Vorschau) von Office unter Windows mit der Absicht, sie auf andere Office-Vertriebskanäle auszuweiten, darunter Monthly Enterprise, Semi-Annual Enterprise Channels und die Long Term Servicing Channel-Version von Office. Die Funktion wurde auf den Current Channel ausgeweitet.

Microsoft informiert am Donnerstag Administratoren, dass die Änderung zurückgenommen wurde, ohne eine andere Erklärung für die Entscheidung zu geben, als dass sie auf Feedback basierte. „Aufgrund von Rückmeldungen nehmen wir diese Änderung im Current Channel zurück“, teilte Microsoft den Administratoren am Donnerstag im Microsoft 365 Message Center mit.

Microsoft scheint jedoch anzudeuten, dass die Rücknahme nur vorübergehend ist, indem es Microsoft 365-Administratoren mitteilt: „Wir arbeiten daran, diese Erfahrung zu verbessern. Wir werden ein weiteres Update zur Verfügung stellen, sobald wir wieder bereit sind, es für den Current Channel zu veröffentlichen.“

Der Schritt kam für Office-Administratoren überraschend. „Aufgrund des erhaltenen Feedbacks wurde ein Rollback gestartet“, schrieb Angela Robertson,  Office 365 Principal GPM for Identity and Security. „Ein Update über das Rollback ist in Arbeit. Ich entschuldige mich für etwaige Unannehmlichkeiten, die dadurch entstanden sind, dass das Rollback begonnen hat, bevor das Update über die Änderung zur Verfügung gestellt wurde.“

Sicherheitsexperten entsetzt

Ian McShane, Vice President of Strategy bei Arctic Wolf, kommentiert das Vorgehen von Microsoft und was das für die Cyber-Sicherheit bedeutet. „Es ist bedauerlich und enttäuschend, dass Microsoft seine Initiative zur standardmäßigen Deaktivierung von Office-Makros wieder zurücknimmt. Diese standardmäßige Deaktivierung der Office-Makros wäre ein großer Schritt nach vorn gewesen, um einen der beliebtesten Angriffspfade abzusichern.

Malware wie Quakbot und Emotet wird über diese Art von bösartigen Dokumenten verbreitet und richtet Schäden bei Unternehmen weltweit an. Unabhängig davon, ob diese Maßnahme aufgrund technischer Bedenken oder aufgrund von Kundenfeedback zurückgenommen wurde, bedeutet es für Office-User, dass sie heute weniger sicher sind als noch letzte Woche. Sicherheitsteams müssen daher in höchster Alarmbereitschaft sein und die Nutzer erneut auf die Risiken aktiver Inhalte in Office-Dokumenten hinweisen. Ich war überrascht zu hören, dass es Pläne gab, dieses Problem mit einer standardmäßigen Makrodeaktivierung anzugehen, bin nun jedoch noch überraschter, dass diese Pläne wieder zurückgenommen wurden.

Insgesamt ist die Abwägung Benutzerfreundlichkeit vs. Sicherheit ein großes Problem, das es zu lösen gilt. Deaktivierte Makros sind für Benutzer jedoch mit einem geringeren Aufwand verbunden verglichen mit dem Schaden eines erfolgreichen Emotet-Angriffs. Dieser Angriffspfad ist ein seit Jahrzehnten bekanntes Problem – und leider wurde das Risiko von Makros immer auf die Endnutzer abgewälzt, anstatt es an der Quelle zu beheben. Ich würde mich auf eine Zunahme makrobasierter Cyberangriffe einstellen, da dieser Angriffspfad nun wieder einfacher geworden ist.“

Der britische Cybersecurity-Experte Kevin Beaumont bezeichnete die Makro-Sperre als „potenziellen Wendepunkt für die Cybersecurity-Branche und, was noch wichtiger ist, für die Kunden“, da Makros für etwa ein Viertel aller Erstzugriffsvorfälle bei Ransomware-Einsätzen verantwortlich sind.  Beaumont war schockiert, dass Microsoft die Funktion zurückgenommen hat, ohne die Kunden zu informieren. „Die einschneidendste Änderung, die Microsoft hätte vornehmen können, um ein reales Cybersicherheitsproblem im eigenen Haus radikal zu verbessern, wurde zurückgenommen, ohne dass dies überhaupt kommuniziert wurde“, schrieb er auf Twitter.

„Das ist eine schreckliche Idee“, schrieb Eva Galperin, Direktorin für Cybersicherheit bei der Electronic Frontier Foundation. „Ich habe den Überblick über die Anzahl der Kampagnen verloren, die ich gesehen habe, die auf die Zivilgesellschaft abzielten und Office-Makros zur Installation von Malware verwendeten.“

Die meisten Menschen verwenden keine Makros, aber einige Geschäftsbereiche und Organisationen verlassen sich stark auf die Visual Basic for Applications (VBA)-Makroskripte oder „aktiven Inhalte“, um sich wiederholende Aufgaben in Tabellenkalkulationen und Dokumenten zu automatisieren. Im Vorfeld der Einführung warnte Microsoft vor allem Finanzabteilungen und unabhängige Softwareanbieter, die Verwendung von Makros zu ändern.

Seit Jahren ist die Ausführung von Makros in Office standardmäßig deaktiviert. Wenn Benutzer eine E-Mail mit einem Office-Anhang erhalten, in den ein Makro eingebettet ist, zeigt Office eine Benachrichtigungsleiste an, die die Benutzer vor den Sicherheitsrisiken bei der Ausführung dieser Makros warnt.

Die Benutzer können Makros jedoch durch Klicken auf eine Schaltfläche aktivieren, was Angreifer auf zahlreiche Weise zu tun versuchen. Wenn ein Benutzer beispielsweise ein bösartiges Excel-Dokument mit einem Makro herunterlädt, behauptet der Text im Dokument, dass die Datei von Microsoft „geschützt“ ist und dass der Benutzer Makros aktivieren muss, um den Inhalt anzuzeigen.

Microsoft hat im Dezember detailliert beschrieben, wie fortgeschrittene Cyberkriminelle wie Qakbot genau diese Art von Tricks angewandt haben, um ihre VBA-Makros und älteren Excel 4.0-Makros zum Laufen zu bringen und von dort aus Ransomware oder Malware zum Stehlen von Informationen zu übertragen.

Daher die standardmäßige Sperrung aller Office-Makros aus dem Internet, die ein großes Hindernis für die Verbreitung von Malware über bösartige E-Mail-Anhänge darstellen sollte. Dies war ein Fortschritt gegenüber einer „taktischen“ Änderung, die Microsoft in Office 2016 eingeführt hatte und die es Administratoren ermöglichte, „die Verwendung von Makros selektiv auf eine Reihe von vertrauenswürdigen Workflows zu beschränken“ und „den einfachen Zugriff auf aktivierte Makros in Szenarien zu blockieren, die als hohes Risiko angesehen werden.“ Damals sagte Microsoft, dass 98 % der auf Office abzielenden Bedrohungen Makros verwenden.

Die neuere Standard-VBA-Makrosperre zeigte eine rote Warnung und eine anklickbare Schaltfläche „Mehr erfahren“, wenn Benutzer eine Anlage öffnen oder eine nicht vertrauenswürdige Datei aus dem Internet herunterladen, die Makros enthält.

Die Schaltfläche „Mehr erfahren“ führt zu einer Seite von Microsoft, auf der erklärt wird, wie Makros von Leuten mit schlechten Absichten verwendet werden, und am Ende der Seite wird hinter einem Dropdown-Pfeil zum Aufheben der Makros erklärt, wie Makros manuell aktiviert werden können.

Wenn die automatische Blockierung aktiviert ist, fügt Windows den Office-Dateien, die aus dem Internet stammen, das Attribut Mark of the Web (MOTW) hinzu. Administratoren können das MOTW manuell entfernen. Microsoft beschreibt in seinem Dokument zu dieser Funktion, wie dies zu bewerkstelligen ist.

Ein Kommentator in Microsofts Blog kritisierte das Unternehmen für seine mangelnde Kommunikation über das Rollback, aber auch für die Art und Weise, wie es die automatische Sperre überhaupt kommuniziert hat. Sie weisen auch darauf hin, dass die derzeitige Implementierung der Sperre für Makros mit MOTW für kleine und mittlere Unternehmen (KMU) zu kompliziert ist.