在惡意office文檔中嵌入VBA宏是在釣魚攻擊中分發惡意軟件的一種非常主流的方式，包括Emotet、TrickBot、Qbot和 Dridex。

2月7日，微軟宣布將在4月開始將啟用從互聯網下載的VBA宏的方式變難，旨在應對利用VBA宏來分發惡意軟件。這一變化將從2203版本開始應用，只影響運行在Windows 系統的設備上的office軟件，影響的應用包括Word、Excel、PowerPoint、Visio和Access。

新版本應用后，office用戶將在宏被自動攔截后無法通過簡單地點擊啟用宏按鈕的方式來啟用宏。這一變化可以有效應對通過惡意office文檔在家用和企業網絡中傳播惡意軟件，包括不同的信息竊取木馬和其他惡意工具。

新版本應用后，office在打開文檔時間，會實現檢查是否標記了MoTW(Mark of the Web)，MoTW標簽的目的是檢查文檔是否從互聯網下載的。如果發現了該標簽，微軟就會以只讀模式打開文檔并攔截漏洞利用，除非用戶點擊啟用編輯或啟用內容按鈕。

移除了這些按鈕后，用戶就可以移除MoTW，默認攔截來自不可信源的宏，因此大部分惡意文檔就不會執行了，實現了攔截惡意軟件攻擊的目的。

Office宏安全警告

微軟稱，該更新將推送到Office LTSC、Office 2021、Office 2019、Office 2016和 Office 2013用戶。此外，微軟將繼續調整用戶對宏的體驗，使其更難通過社會工程技術誘使用戶運行惡意代碼。

Office更新只會讓啟用宏變得更難，并不會完全禁用宏。啟用宏的方式為進入文檔屬性并檢查右下方的解鎖按鈕。

解鎖對VBA宏的攔截

上月，微軟稱Excel 4.0 (XLM)宏將被默認禁用，以保護用戶免受通過惡意文檔傳播的惡意軟件的影響。

本文翻譯自：https://www.bleepingcomputer.com/news/microsoft/microsoft-plans-to-kill-malware-delivery-via-office-macros/如若轉載，請注明原文地址。