Hoe beheers je security risico’s van macro’s in Office software?

Wouter van den Berkmortel
·
02/06/2022
Als jouw organisatie gebruikt maakt van Microsoft Office software is de kans groot dat je gebruik maakt van geautomatiseerde handelingen ofwel macro's. Maar wist je dat deze macro's ook vaak gebruikt worden als aanvalsmethode door cybercriminelen? Lees er alles over in deze blog van Master IT.

Grote kans dat jij en je collega’s gebruik maken van Microsoft Office.
Slim, want je kan dit platform goed gebruiken om allerlei taken te automatiseren door macro’s in te schakelen. Een macro in Office 365 of oudere Officepakketten is echter ook een veel gebruikte aanvalsmethode voor hackers. In het verleden waarschuwde Microsoft al voor de risico’s van het gebruik van macro’s in documenten, zoals Acces, Word, Excel, Visio en PowerPoint. Zo kunnen de documenten gebruikt worden door aanvallers om ransomware te verspreiden.

Een onderzoek van een brits anti-virusbedrijf in 2019 heeft aangetoond dat er vier populaire manieren zijn om ransomware te verspreiden: het gebruik van Microsoft officedocumenten met kwaadaardige macro’s, brute force aanvallen op het Remote Desktop Protocol (RDP), het compromitteren van Managed Service Providers (MSP) en het gebruik maken van bij de systeembeheerder of organisatie onbekende kwetsbaarheden (zero day exploits) in software. Macro’s in Office zijn daarbij het meest populair bij hackers. Voor de verspreiding wordt in veel gevallen een kwaadaardige macro via e-mail verstuurd.
Herken jij de uitdaging van het automatiseren van taken en daarnaast het veilig houden van de online omgeving van jouw organisatie? Wil jij actief kunnen bijdragen aan de cyberveiligheid? Lees dan snel verder!

logo Microsoft

Werking macro’s in Microsoft Office

Een marco kan medewerkers in jouw organisatie helpen om werkzaamheden te automatiseren. Daar waar het gaat over repeterende handelingen, zoals het invoegen van een stuk tekst of het toepassen van een bepaalde opmaak. Deze terugkerende handelingen kunnen, vanuit gebruikersgemak en efficiëntie, worden vastgelegd door middel van een macro. De gemaakte macro kan op een later tijdstip gebruikt worden om de handeling automatisch uit te voeren. Dit kan door te klikken op een knop op de werkbalk “snelle toegang” of door het indrukken van een toets combinatie.
Het gebruik van een macro is zowel in Microsoft Access, Word, Excel, Visio als Microsoft PowerPoint mogelijk. In het verleden heeft Microsoft besloten om Microsoft macro’s in office standaard uit te schakelen. Er zijn een aantal manieren om een macro in office in te schakelen:

  • via de waarschuwing die boven in beeld komt bij het starten van een macro kan afhankelijk van de instelling binnen de organisatie het gebruik van een macro worden ingeschakeld
  • het alleen inschakelen van de macro’s voor de huidige sessie in Word of Excel
  • instellingen wijzigen in het vertrouwenscentrum met de volgende opties:
    • Alle macro’s uitschakelen, zonder melding
    • Alle macro’s uitschakelen, met melding (standaard instelling)
    • Alle macro’s uitschakelen, met uitzondering van macro’s die digitaal zijn ondertekend
    • Alle macro’s inschakelen (niet aanbevolen door Microsoft)

Wat zijn de risico’s van het gebruik van macro’s in Microsoft Office?

Er wordt door hackers via malware vaak gebruik gemaakt van kwaadaardige macro’s. Dit is de reden waarom Microsoft het gebruik van macro’s standaard niet toestaat in Office software. Wat er bijvoorbeeld veelal gebruikt wordt in het geval van ransomware, is dat deze een macro downloadt en daar vervolgens de ransomware mee installeert op de computer.

Buiten ransomware zijn er ook andere mogelijke infecties die een dreiging kunnen vormen voor jouw organisatie. Daarbij kan gedacht worden aan spyware, andere soorten malware en macrovirussen. Een macrovirus maakt gebruik van het geautomatiseerde systeem, dat ook gebruikt wordt door een “normale” macro, door zichzelf te vermommen als een “normale” en “veilige” macro. Wanneer een bestand dat geïnfecteerd is met een macrovirus geopend wordt, voert de software de kwaadaardige macro uit alsof het een normale macro is met alle mogelijke schadelijke gevolgen van dien.
Let op! Dit kan alleen gebeuren als de ontvanger van het bestand macro’s inschakelt of jouw organisatie dit als standaard toestaat.
Nu de risico’s in kaart zijn gebracht is de vraag hoe we deze kunnen beperken.

afbeelding macro waarschuwing

Hoe kun je risico’s beperken bij gebruik van macro’s ?

In principe is het gebruik van macro’s standaard uitgeschakeld binnen office. Echter is er een melding die de gebruiker in staat stelt om alsnog macro’s toe te staan op zijn of haar systeem.
Recentelijk heeft Microsoft vanwege de toenemende malware- en ransomware aanvallen besloten macro’s vanaf april 2022 standaard in Office te blokkeren om de risico’s verder te beperken. Hierdoor kunnen de gebruikers deze niet meer via een enkele muisklik inschakelen. Dat wil zeggen dat bij documenten die van websites of bijvoorbeeld outlook afkomstig zijn, de daarin aanwezige macro’s geblokkeerd worden en deze niet eenvoudig in te schakelen zijn.
Microsoft Office laat in dat geval een melding zien als waarschuwing dat er sprake is van een veiligheidsrisico. Hierbij toont Microsoft een link naar een document wat uitlegt waarom een bepaalde macro is geblokkeerd. Nu wordt daar nog de term “security warning” voor gebruikt, dat zal in de toekomst aangepast worden naar “security risk”. Verder zal de kleur van de melding veranderen van geel naar rood.
Gebruikers die de betreffende documenten willen gebruiken en macro’s daarbij willen inschakelen zullen hiervoor verschillende stappen moeten doorlopen. Wees voorbereid en breng verschillende afdelingen binnen jouw organisatie op de hoogte van deze wijziging van Microsoft als ze gebruikmaken van macro’s. Denk hierbij zeker aan de financiële afdeling waar het gebruik van macro’s vaak aanwezig is, maar ook aan softwareleveranciers die met macro’s in Office documenten werken.

Microsoft neemt deze aanpassing vanaf april in de previewversie 2203 van Office 2021, 2019, 2016, en 2013 mee. Het doorvoeren in de standaardversie volgt in juni, gevolgd door de enterprise versies in juli, september 2022 en januari 2023.

*Deze aanpassing is niet van toepassing op Office software op een MacOS besturingssysteem, Office op een Android of IoS besturingssysteem en de webversie van Office.*

Een andere optie om de risico’s te beperken is door de optie in te stellen om macro’s alleen in Office documenten met een digitale handtekening toe te staan. Een digitale handtekening garandeert dat er niet met het office document is geknoeid nadat het ondertekend is. Het is dus slim om macro’s pas te ondertekenen nadat de oplossing is getest en klaar is voor distributie. Als een macro op de één of andere manier wordt gewijzigd, dan wordt de digitale handtekening verwijderd. Alleen als de gebruiker over het geldige digitale certificaat op zijn of haar systeem beschikt waarmee het officedocument eerder is ondertekend, dan wordt de macro automatisch opnieuw ondertekend met een digitale handtekening wanneer deze wordt opgeslagen.

Meer kennis over Microsoft 365 of Microsoft Security opdoen bij Master IT?

Wil jij meer weten over het beveiligen van Microsoft 365 en jullie Windows Systemen on-premise of in de Cloud? Dan helpen we je uiteraard graag!
Zo biedt Master IT de SC-200 Microsoft Security Operations Analyst training aan, waarin je leert om bedreigingen te beperken met behulp van Microsoft Defender for Endpoint. Hiernaast geeft Master IT onder andere de
SC-400 Microsoft Information Protection Administrator training, die organisaties in het kader van gegevensbescherming helpt om hun gegevens te beschermen tegen diefstal en onbedoeld verlies.
In de SC-300 Microsoft Identity and Access Administrator training ligt de nadruk op identiteitsconcepten en toegangsbeheer gebruikmakend van Azure Active Directory in de Azure Cloud.

Heb je de benodigde informatie niet gevonden in deze blog of wil je één van onze Microsoft trainingen boeken? Neem dan gerust contact met ons op via WhatsApp, telefonisch via 040 23 23 390 of stuur een mail naar info@master-it.nl
Je kunt ook het contactformulier hieronder invullen, één van onze opleidingsadviseurs zal dan zo spoedig mogelijk contact met je opnemen.

Heb je behoefte aan meer informatie over de verschillende Microsoft trainingen en certificeringen van Master IT? Vraag dan hieronder onze Microsoft Certificeringsposter aan!

Bij Master IT leer je alleen wat je echt nodig hebt.
Certificeringen Trainingen
Beste lesmethode
Flexibel inplannen
Kleine klassen
100% Slagingsgarantie
Gerelateerde trainingen
SC-900
Microsoft Security, Compliance, and Identity Fundamentals (SC-900)
Beginner
SC-100
Microsoft Cybersecurity Architect (SC-100)
Advanced
AZ-500
Microsoft Azure Security Technologies (AZ-500)
Intermediate
Bekijk alle trainingen