Microsoft incorpora la posibilidad de detectar documentos maliciosos en Office 365

El uso de macros maliciosas incrustadas en documentos de Microsoft Office es algo que los delincuentes han venido aprovechando desde hace muchos años. Desde aquellos primeros incidentes a mediados de los 90 hasta el resurgimiento de esta técnica en los últimos tiempos como vector de ataque para alguna de las amenazas más propagadas, esta técnica parece que les sigue funcionando bien a los delincuentes. Por ese motivo, Microsoft quiere ponerle freno de una vez por todas incluyendo la detección de documentos con macros maliciosas en Office365.

Una opción esperada

La posibilidad de analizar en búsqueda de código malicioso documentos de Office es una opción que viene a complementar y mejorar el modo de Vista Protegida que hace tiempo que incorporó a la hora de abrir un documento y que evita que se cargue contenido potencialmente peligroso de forma automática.

Esta nueva capa de protección, conocida como Safe Documents, fue lanzada en formato de preview privada el pasado mes de febrero y utiliza Microsoft Defender Advanced Threat Protection (MDATP) para analizar aquellos que se abran en el modo de Vista Protegida en búsqueda de amenazas conocidas y potenciales.

En principio, el modo de vista protegida debería suponer una barrera relativamente eficaz frente a las amenazas que tratan de aprovechar las macros de Office para propagarse, pero demasiados usuarios siguen desactivando esta opción aún sin tener necesidad de editar el documento. Por este motivo, Microsoft ha optado por analizar los documentos en busca de malware de forma automática antes de permitir a los usuarios abandonar el modo de vista protegida.

Varios resultados en función del análisis

Una vez que el documento es revisado por MDATP, siempre siguiendo las políticas de privacidad y almacenamiento pertinentes, se devuelven varios resultados al usuario. Estos resultados pueden ser:

  • El archivo está siendo analizado por MDATP: este mensaje se muestra cuando Safe Documents analiza el archivo mediante MDATPD. Se permite un tamaño máximo del archivo de 60 Megabytes.
  • Error en la verificación: este mensaje de error aparece si se produce alguna incidencia mientras se analiza el fichero, como, por ejemplo, si se sobrepasa el tiempo de análisis o se producen errores de conectividad. Los usuarios pueden seguir editando el documento, pero se recomienda precaución.
  • El archivo es seguro: este mensaje se muestra si el análisis no encuentra ninguna amenaza en el documento, por lo que los usuarios pueden seguir editándolo abandonando el modo de Vista Protegida.
  • Fichero malicioso: este mensaje se muestra en el caso de que el análisis determine que el fichero es malicioso. En ese caso, los usuarios no podrán abandonar el modo de Vista Protegida y, por tanto, no podrán editar el documento. Solamente en el caso de que el administrador haya decidido modificar la configuración en el portal de administración los usuarios podrán saltarse esta alerta y editar el documento.

La funcionalidad de análisis de documentos que ofrece Safe Documents ya está disponible para aquellos usuarios de Office 365Pro Plus con licencias Microsoft 365 E5 y E5 Security para usuarios comerciales y educacionales en clientes Windows.

Conclusión

Que Microsoft haya tomado esta decisión es una muy buena noticia, puesto que sirve para luchar contra uno de los vectores de ataque que más se han estado utilizando en los últimos años. No obstante, no debemos olvidar que se trata de una capa de seguridad que puede ser complementada por capas adicionales que realicen un segundo análisis para asegurarse de que realmente no contiene código malicioso.

Josep Albors

Correo suplantando al BBVA descarga spyware que roba información personal