Не нажимайте эту кнопку: почему макросы Office все еще опасны

[AlexeyK77]

еще добавить: хороший антиврус, который позволяет организации самой разрабатывать дополнительные кастомные политики контроля приложений (на уровне запуска процессов, файловой активности, активности реестра, контроль подгрузки ДЛЛ. контроль АПИ-вызовов).

Таких антивирусов к сожалению очень немного и они все дорогие.

Удивительно, что микрософт не пошел по пути, когда макросы можно запускать но с некоторыми частичными ограничениями функций, которыми можно рулить через групповую политику:
- макросы разрешены, на функции работы из макроса с файловой системой блокируются

- макросы разрешены, на функции работы с процессами блокируются

- макросы разрешены, на функции работы с реестром блокируются

- макросы разрешены, на функции работы с ДЛЛ блокируются

- макросы разрешены, на функции прямого вызова любого API к ядру блокируются.

Реально, этого было бы достсточно что бы прикрыть эту тему на корню, но нет, это слишком сложно для микрософт, легче скруглять кнопки и пилить анимации.

[CrashLogger]

Да просто запрашивать разрешение при вызове потенциально опасных функций, как это делает тот же Android, уже было бы неплохо.

[qyix7z]

Мне для моих макросов пришлось бы отключать все эти ограничения.

Может стоит ограничения другого вида: если макрос чего-то ковыряет в пределах файла, в котором он запущен - да пусть ковыряет, что хочет. Если требуется любое обращение наружу - алярм.

[AlexeyK77]

я именно это и имел ввиду. в документе пусть макрос делает что хочет. Но кк только документ начинает работать как полноценная программа - ограничивать функции политиками.

[retab]

Был случай, когда полезную нагрузку поместили в поле "Автор". Сначала шла фамилия, к примеру Иванов, затем около 50 пробелов, а после уже полезная нагрузка в base64.

[qyix7z]

Я конечно понимаю, что у меня "ошибка выжившего", но более 20 лет мой основной инструмент Эксель, и всегда включаю запуск всех макросов и доступ к объектной модели. И за этот период ни разу не схватил вирус в офисных документах.

Конечно получал вирусы почтой, в том числе якобы от сотрудников компании (включая лжеГД), но здравый смысл мне сразу говорил: не открывай вложение - там бяка.

в защищенном режиме кнопка печати будет недоступна, и пользователь под давлением обстоятельств может принудительно запустить процесс печати;

А вот это очень сильно бесит. Мне недоступно понимание, почему показать в защищенном режиме можно, а распечатать показанное - надо выходить из этого режима. Я понимаю, что перед печатью может выполняться Workbook_BeforePrint(), и печать будет не такой, как задумывал автор документа, но ведь можно отправить на печать и из защищенного режима, предупредив пользователя, что печать может быть неточной из-за защищенного режима.

[Panzerschrek]

Да уж, хороший пример, как сначала Microsoft внедрили такой "полезный" инструмент, как макросы (со всем их функционалом), после чего десятилетиями героически борются с ним.

С самого начала макросы были должны быть сделаны так, чтобы не иметь никакого доступа к внешнему миру - без доступа к файлам, без возможности загрузить dll, и даже без возможности отправки E-Mail. Только доступ к непосредственно документу, в котором этот макрос используется. Кроме того сама среда выполнения не должна иметь дыр, позволяющих исполнение произвольного кода.

[nixtonixto]

без доступа к файлам

А как тогда в PowerPoint сгенерировать 1000 уникальных рождественских открыток по контактам из таблицы Excel, взяв рандомную картинку из галереи "рождественские открытки", физически расположенной где-нибудь в офисной сети или вообще в интернете?

и даже без возможности отправки E-Mail

А как тогда отправить эту 1000 открыток по уникальным адресам и с уникальными именем-отчеством в поле Subject?

[PrinceKorwin]

Может это что-то может быть внешним по отношению к Excel, PowerPoint, Mail Server и галлереи с картинками?

[Panzerschrek]

Я не против такого, оно архитектурно должно быть просто иначе реализовано. Чтобы не сам документ что-то там читал и лез в сеть. Вместо него должен быть какой-то внешний интерпретатор скриптового языка (того же Visual Basiс) со встроенными функциями по работе с документами MSOffice.

[qyix7z]

внешний интерпретатор скриптового языка (того же Visual Basiс) со встроенными функциями по работе с документами MSOffice.

Поздравляю, Вы изобрели VBScript, который тоже внес свою лепту в вирусологию, не хуже VBA.

[MaFrance351]

Так в этом и есть вся их сила, что можно автоматизировать то, для чего требуется доступ к внешним объектам.

Помню, было даже какое-то расширение, позволявшее логировать в Excel данные из COM-порта.

[QuarkDoe]

Заканчивается первая четверть 21-го века, а МелкоМягкие так и не сумели сделать свой МС Офис безопасным.

[PNSpasskiy]

"Всего спустя два года появился Concept — первый вирус " - похоже хакеры в те времена были не очень расторопными, да?