Makra w plikach Office stanowią jedną z najpopularniejszych furtek dla wszelkiego rodzaju złośliwego oprogramowania. Microsoft zapowiedział w lutym, że od kwietnia/maja zmieni domyślne ustawienia makr w dokumentach Office na „zablokowane”. Jednak teraz firma z Redmond po cichu wycofała tę zmianę. Przyczyny tego stanu rzeczy stanowią zagadkę.
Eksperci ds. bezpieczeństwa na całym świecie na pewno odetchnęli z ulgą, kiedy Microsoft ogłosił, że w przyszłości będzie blokował makra w plikach pakietu Office. Jest ku temu wiele powodów, gdyż makra są jedną z najczęściej wykorzystywanych dróg do umieszczania złośliwego oprogramowania w systemach. Dotychczas wyświetlane było jedynie ostrzeżenie. Użytkownicy mieli jednak możliwość jego obejścia poprzez kliknięcie i wykonania makr, co zapewne w większości przypadków robili. Skutki są dobrze znane i nie wymagają dalszego wyjaśnienia.
Dlaczego w ogóle dopuszczać makra?
W sektorze prywatnym istnieje niewiele obszarów zastosowań, dla których makra w plikach Office są absolutnie niezbędne. Jedynymi przypadkami, w których większość użytkowników domowych prawdopodobnie zetknie się z makrami, są właśnie te e-maile, które mogą zawierać wszystko, począwszy od faktur przez listy przewozowe po pisma prawników, a których jedynym celem jest przemycenie do systemu złośliwego oprogramowania. A przestępcy dobrze wiedzą, jak sprawić, że użytkownik poczty uwierzy w zasadność i legalność wysłanej przez nich wiadomości (bardzo szybko otwierając załączony dokument). Tutaj właśnie tkwi problem.
Nie powinniśmy jednak ukrywać, że właśnie przedsiębiorstwa są w niektórych przypadkach zdane na korzystanie z dokumentów Office, które zawierają makra. O przyczynach tego stanu rzeczy można z pewnością dyskutować, ale nie to jest celem niniejszego artykułu. Faktem jest, że dezaktywacja makr jako ustawienie fabryczne miałaby pewien wpływ na codzienną pracę. Istnieje jednak możliwość stworzenia wyjątków – na przykład dla podpisanych makr, których pochodzenie jest weryfikowane. Te mogłyby być bez ograniczeń dalej używane, podczas gdy niepodpisane makra, na przykład w plikach załączonych do wiadomości mailowych, byłyby nadal blokowane.
Wdrożenie środków do podpisywania makr wymaga oczywiście nieco prac przedwstępnych w postaci odpowiedniej infrastruktury klucza publicznego. Szczególnie w dużych firmach nie jest to rozwiązanie typu „dwa kliknięcia myszką”, które wykonuje się w ciągu pół godziny. Powinno być też jasne, że ustawienie odpowiednich zasad grupy (GPO) w Active Directory to w najlepszym przypadku w teorii sprawa takiego dwukrotnego kliknięcia myszką – właśnie w większych środowiskach AD postępowanie z zasadami grupy nie zawsze przebiega łatwo.
Komunikacja: Mierna
Microsoft wycofał jednak zmianę standardowych ustawień makr, rzekomo jako reakcję na „informacje zwrotne”. Niby w porządku, aczkolwiek rozczarowujące ponad miarę. Tym, co u wielu ekspertów ds. bezpieczeństwa i dziennikarzy pozostawiło niesmak, jest fakt, że Microsoft o tych działaniach nie poinformował. Zmiana tak krytycznego dla bezpieczeństwa ustawienia, na którym polegało wielu użytkowników, a także firm, bez odpowiedniej informacji dla zainteresowanych, świadczy o tym, że Microsoft nie jest świadomy konsekwencji tej decyzji. Przypuszczalnie osoby odpowiedzialne w firmie Microsoft doskonale zdają sobie z tego sprawę. Wydaje się jednak, że niektórym z tych, którzy taką potrzebę odczuwają, udało się po prostu przeforsować tę zmianę – w ostatecznym rozrachunku ze szkodą dla wszystkich i z korzyścią dla przypuszczalnie raczej umiarkowanej grupy firm, którym z własnych powodów nowe, bezpieczniejsze ustawienie nie pasowało. To tak, jakby producent samochodu dezaktywował w łatce do oprogramowania takie rzeczy, jak ABS czy system ostrzegania przed niezamierzonym zjechaniem z własnego pasa ruchu, nie informując o tym klientów. Jest to absolutnie nieodpowiedzialne. Jedyne małe pocieszenie: Microsoft twierdzi, że „w ciągu kilku najbliższych tygodni” można spodziewać się nowej próby.
Jednak zamiast odpowiadać na pytania o powody, Microsoft nabiera wody w usta – co oczywiście również jest jakimś sygnałem. Bo brak odpowiedzi jest również jakąś odpowiedzią.
Ponownie „los“
Generalnie rzecz biorąc, zainteresowanym pozostaje jedynie samodzielne sprawdzenie, jakie ustawienia są aktualnie zastosowane. Tam, gdzie makra nie są potrzebne, nie powinny być również dopuszczone i zatwierdzone. Ta opcja była zawsze dostępna i jest też wyraźnie zalecana przez Microsoft. Osoby odpowiedzialne za IT powinny porozumieć się w tym zakresie z pracownikami i kierownictwem poszczególnych zespołów, aby uniknąć nieprzyjemnych niespodzianek.