Un document Microsoft Word avec une macro malveillante intégrée dans le cadre d’une campagne de logiciels malveillants sur le thème de l’IRS. Crédits image : Microsoft.
Microsoft a déclaré qu’il prévoyait toujours de bloquer les macros Visual Basic Applications (VBA) par défaut dans les applications Office après avoir discrètement annulé le changement prévu le mois dernier.
Les macros VBA sont des lignes de code qui permettent aux utilisateurs d’automatiser les processus de routine, comme la collecte de données ou l’exécution de certaines tâches, dans les applications Microsoft Office. Bien que cela en fasse un outil pratique pour les entreprises, en particulier celles de la comptabilité et de la finance, les macros sont depuis longtemps populaires auprès des cybercriminels, qui, jusqu’à récemment, pouvaient facilement intégrer une macro malveillante dans un document pour diffuser des logiciels malveillants via des pièces jointes à des e-mails.
Microsoft a annoncé en février, au grand plaisir de la communauté de la cybersécurité, qu’il empêcherait bientôt les macros VBA provenant d’Internet de s’exécuter par défaut. Le changement, qui, selon Microsoft à l’époque, « empêcherait les utilisateurs d’ouvrir par inadvertance des fichiers sur Internet contenant des macros », devait entrer en vigueur en juin. Mais, comme l’a repéré Bleeping Computer, Microsoft a discrètement annulé le changement le 30 juin, citant des « commentaires d’utilisateurs » non spécifiés.
Microsoft a fait face à un déluge de commentaires en colère dans les discussions Reddit et sur les réseaux sociaux déplorant le changement d’avis. Mais le géant du logiciel a depuis confirmé que le revirement surprise n’était que temporaire, ajoutant qu’il était « pleinement engagé » à bloquer les macros Internet par défaut.
« Suite aux commentaires des utilisateurs, nous avons temporairement annulé ce changement pendant que nous apportons des modifications supplémentaires pour améliorer la convivialité. Il s’agit d’un changement temporaire et nous nous engageons pleinement à effectuer le changement par défaut pour tous les utilisateurs », a déclaré Kellie Eickmeyer, chef de produit principal chez Microsoft, dans une mise à jour de blog.
Microsoft a déclaré dans le billet de blog que les utilisateurs peuvent toujours bloquer les macros Internet en modifiant certains paramètres de stratégie de groupe.
TechCrunch a demandé à Microsoft comment il prévoyait d’améliorer la convivialité et quand le blocage des macros prendrait effet, mais un porte-parole n’a pas immédiatement commenté.
La décision de bloquer les macros par défaut semblait avoir fonctionné jusqu’à l’inversion de Microsoft le mois dernier. Une récente campagne de test Emotet observée par la société de cybersécurité ESET révèle que les attaquants pourraient déjà s’éloigner des attaques basées sur les macros étant donné les plans de Microsoft de bloquer les macros VBA par défaut. Emotet, un botnet notoire utilisé par les cybercriminels pour envoyer des spams, remplace déjà les documents Microsoft Word par un fichier de raccourci comme pièce jointe malveillante.
HP Wolf a déclaré en mai qu’il avait également observé une augmentation du nombre d’acteurs malveillants se tournant vers des formats non basés sur Office alors que Microsoft commençait à bloquer les macros, y compris une multiplication par quatre de l’utilisation des fichiers d’archive Java.