微软开始为Microsoft Office 365提供恶意宏扫描和检测

Posted 2021-04-28 蓝点网

宏功能因其功能非常强大因此被很多商务人士们使用，但是宏强大的同时也存在安全隐患例如执行恶意代码。

在最近五年里黑客通过宏功能发动的攻击非常多，究其原因主要是普通用户们并不清楚宏所以容易放松警惕。

例如通过宏功能展开攻击最常用的手段就是群发垃圾邮件，当用户们打开特定文档时就会弹出启用宏的通知。

在启用的瞬间携带恶意代码的宏模块就会执行恶意代码，进而配合其他漏洞直接获得用户操作系统管理权限。

微软提供的宏安全扫描服务：

宏安全扫描主要是依靠反恶意软件扫描接口实现的，其实也就是调用 Windows Defender 在线监测宏安全。

对于 Windows Defender 无法识别的宏模块同样会被上传云端，由云端机器学习继续判断宏模块是否安全。

即便是使用混淆技术的恶意宏模块也可以被识别出来，进而提高对文档类携带恶意宏的文件的安全防护能力。

记录行为和主动触发：

绝大多数恶意宏都会采用混淆技术以便躲过常规检测，因此微软本次也特别支持对经混淆的宏模块行为检测。

按预设流程系统会首先记录宏模块的所有行为，接着触发宏模块的可以行为，最后如果判断恶意则立即拦截。

云方面微软同时也集成WindowsDefender APT来进行云端识别，这样可以极大地提高对恶意宏的判断效率。

率先面向Microsoft Office 365推出：

目前这项功能已经率先面向Microsoft Office 365 订阅版用户推出，但后续是否支持其他版本暂时尚不清楚。

用户无需进行任何操作默认情况下只要升级到最新版即支持此功能，启用携带宏模块的文档时就会触发扫描。

需要提醒的是尽管微软提供防护但用户依然应该小心宏，从网上下载的携带宏的文档绝大部分都是恶意的宏。

对于普通用户来说如果用不上宏模块可以直接将其关闭，避免某些时候可能不小心操作陷入钓鱼者的圈套中。

正版软件·先领优惠券

数码荔枝正版软件商城多款正版软件如Fantastical日历软件、落格输入法、完美替代iTunes的iMazing助手等均在折扣促销，现在购买还可以领取5元优惠券惠享折上折，点击阅读原文按钮领取优惠券和进入数码荔枝挑选更多实用软件。