Microsoft a annoncé que les macros Excel 4.0 (XLM) seront désormais désactivées par défaut pour protéger les clients des documents malveillants.
En octobre, la société a révélé pour la première fois dans une mise à jour du centre de messagerie Microsoft 365 qu’elle désactiverait les macros XLM dans tous les locataires si les utilisateurs ou les administrateurs n’avaient pas activé ou désactivé manuellement la fonctionnalité.
À partir de juillet 2021, les administrateurs Windows peuvent également utiliser les stratégies de groupe et les utilisateurs le paramètre « Activer les macros XLM lorsque les macros VBA sont activées » du Centre de gestion de la confidentialité Excel pour désactiver cette fonctionnalité manuellement.
« En juillet 2021, nous avons publié une nouvelle option de configuration Excel Trust Center pour restreindre l’utilisation des macros Excel 4.0 (XLM) », mentionné Catherine Pidgeon, responsable principale du programme chez Microsoft, plus tôt cette semaine dans un article de blog Tech Community.
« Comme prévu, nous avons désormais défini ce paramètre comme paramètre par défaut lors de l’ouverture des macros Excel 4.0 (XLM). Cela aidera nos clients à se protéger contre les menaces de sécurité associées. »
Les administrateurs peuvent configurer la manière dont les macros Excel sont autorisées à s’exécuter à l’aide des paramètres de stratégie de groupe, des stratégies cloud et des stratégies ADMX.
Ils peuvent également bloquer toute utilisation de macros Excel XLM dans leurs environnements (y compris les nouveaux fichiers créés par l’utilisateur) en activant la stratégie de groupe « Empêcher Excel d’exécuter des macros XLM », configurable via l’éditeur de stratégie de groupe ou la clé de registre.
À l’heure actuelle, les macros XLM sont désactivées par défaut dans le fork de septembre, Excel version 16.0.14527.20000 et versions ultérieures disponibles dans :
- Versions de canal actuelles 2110 ou supérieures (première sortie en octobre)
- Versions mensuelles du canal d’entreprise 2110 ou supérieures (première sortie en décembre)
- Le canal d’entreprise semi-annuel (aperçu) construit 2201 ou plus (premiers navires en mars 2022)
- Versions semestrielles du canal d’entreprise 2201 ou supérieures (livrées en juillet 2022)
Même si les macros basées sur VBA ont été introduites avec la sortie d’Excel 5.0, les acteurs de la menace les utilisent encore plus de deux décennies plus tard pour créer des documents qui déploient des logiciels malveillants ou exécutent d’autres comportements malveillants.
Des campagnes malveillantes utilisant des macros XLM pour pousser des logiciels malveillants ont été observées en train de télécharger et d’installer TrickBot, Zloader, Qbot, Dridex, et de nombreuses autres contraintes sur les ordinateurs des victimes.
Microsoft a également ajouté en silence une stratégie de groupe en octobre 2019 qui permet aux administrateurs d’empêcher les utilisateurs d’Excel d’ouvrir des fichiers Microsoft Query non fiables (et potentiellement malveillants) avec les extensions IQY, OQY, DQY et RQY.
Ces fichiers ont été militarisés dans de nombreuses attaques malveillantes pour fournir des chevaux de Troie d’accès à distance et des chargeurs de logiciels malveillants depuis début 2018.