Como evitar el ransomware servido en macros mediante Políticas de Grupo en Office 2016

Como evitar el ransomware servido en macros mediante Políticas de Grupo en Office 2016

El ransomware basado en Macros está creciendo continuamente, a pesar de no ser algo nuevo ni revolucionario, porque es un vehículo efectivo para transmitir amenazas. Por eso resulta interesante la nueva característica incorporada en Microsoft Office 2016, que es capaz de bloquear la carga de Macros maliciosas en ciertos escenarios de riesgo.

Crecimiento de las infecciones por Macros

Aunque parezca extraño, la tasa de infección por este tipo de vía sigue aumentando a día de hoy. Así lo expresa un informe del Microsoft Threat Intelligence de hace unos meses.

Infecciones por macros que contienen ransomware

Combinados con períodos de calma, lo cierto es que la tasa de descubrimiento de este tipo de malware ha seguido siendo muy elevada en los últimos meses.

El amplio y cada vez más inteligente uso del Phishing permite al atacante saber bastante sobre los empleados de una empresa, al menos sobre alguno en concreto. Se tentará en un momento u otro a esa persona con un archivo, similar a los que pueda manejar habitualmente, con la esperanza de ejecutar el malware (o ransomware) y abrirse camino a través de la red empresarial.

Como evitar el ransomware servido en macros mediante GPOs

Microsoft ha actualizado las Plantillas administrativas para configuración de Políticas de Grupo en Office 2016. Los archivos admx actualizados incluyen nuevos ajustes, que permiten bloquear la ejecución de macros en Word, Excel o presentaciones Power Point cuando estas proceden de Internet. Microsoft ha proporcionado esta opción para así mitigar las posibilidades de entrada de ransomare, a través de un vector que es muy popular para los ciberdelincuentes, sobre todo en empresas.

Si no planeas utilizar macros, puedes simplemente deshabilitarlas completamente, mediante Ajustes de Notificación de Macro VBA. En caso de que sean necesarias, podrás bloquear selectivamente las que desees, en supuestos tales como: documentos que proceden de Internet (zona externa a tu red), documentos que proceden de sites destinados a compartir archivos (dropbox, google drive, etc), además de los clásicos archivos con Macros que puedan contener los emails.

Plantillas administrativas para Office 2016

Para comenzar, deberás descargar las Plantillas Administrativas para Office 2016 y extraerlas a tu almacén central (Central Store). Una vez copiado a tu Central Store, encontrarás el ajuste correspondiente como “Bloquear la ejecución de macros en archivos de Office desde Internet”, en las siguientes rutas:

  • Configuración de usuario > Plantillas Administrativas > Microsoft Excel 2016 > Opciones de Excel > Seguridad > Centro de Confianza
  • Configuración de usuario > Plantillas Administrativas > Microsoft PowerPoint 2016 > Opciones de PowerPoint > Seguridad > Centro de Confianza
  • Configuración de usuario > Plantillas Administrativas > Microsoft Word 2016 > Opciones de Word > Seguridad > Centro de Confianza

Bloquear macros mediante el Editor de Políticas de Grupo 1

El ajuste puede ser activado o desactivado. Si un documento es abierto con una macro que es legítima necesita ser ejecutado, los usuarios podrán moverlo a una ubicación “de confianza” para poder conseguirlo.

Bloquear macros mediante el Editor de Políticas de Grupo 2

El nivel previo de seguridad ofrecido por Office era la Vista Protegida, disponible desde Microsoft Office 2010. Se limitaba a evisar al usuario de que requería elevación de privilegios para poder editar el documento. En una suerte de sandbox, donde se deshabilitaban por defecto macros y otros códigos auto-ejecutables, se comprobó sin embargo que muchos usuarios acababan habilitando por norma este tipo de edición, muchas veces sin pensarlo demasiado.

Vista protegida en Microsoft Office

Por eso Microsoft ha decidido dar más poder a los administradores de sistemas en las empresas, que ahora pueden hacer que, simplemente, la notificación de edición desaparezca. El usuario se encontraría con una aviso como el que sigue:

Contenido bloqueado – Las macros en este documento han sido deshabilitadas por tu administrador por motivos de seguridad.

Macros bloqueadas en Microsoft Office

Conclusiones

Con el ransomware esperando a la vuelta de la esquina, como la forma de ataque más rentable a día de hoy, recomiendo que tengáis en cuenta las puertas a cerrar y adoptéis medidas como la comentada hoy.

Fuentes adicionales

Deja tu comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s