Італійський дослідник безпеки з InTheCyber ​​Антоніо Буоно (Antonio Buono) виявив спосіб, що дозволяє створювати шкідливе програмне забезпечення, що самовідтворюється, за допомогою вбудованої функції Microsoft Office.

Використання ПЗ, що самовідтворюється, що дозволяє макросам писати ще більше макросів, не є чимось новим. З метою захистити своїх користувачів від подібної загрози Microsoft навіть реалізувала в Office механізм безпеки, що обмежує цей функціонал. Тим не менш, Буоно виявив простий спосіб обходу обмежень, за допомогою якого зловмисники можуть створювати шкідливе ПЗ, що самовідтворюється, і приховувати його за нешкідливим на перший погляд документом Word.

Дослідник повідомив Microsoft про виявлену проблему минулого місяця. Компанія відмовилася визнавати її вразливістю, хоч зловмисники, схоже, вже експлуатують її. Згідно нещодавньому звіту Trend Micro, кіберзлочинці взяли на озброєння нове вимагання, що самовідтворюється, qkG на основі макросів, що використовує описаний Буоно спосіб.

За даними Trend Micro, qkG був завантажений на VirusTotal кимось із В'єтнаму і більше схожий на експериментальний проект або PoC-код, ніж на повноцінну шкідливу програму. ПЗ використовує техніку Auto Close VBA macro, що дозволяє виконувати шкідливі макроси, коли жертва закриває документ.

Microsoft деактивувала за замовчуванням зовнішні (недовірені) макроси і зробила можливим для користувачів за необхідності включати довірений доступ до проектів VBA вручну. При активованому довіреному доступі Office довіряє всім макросам і автоматично запускає будь-який код без попередження безпеки та дозволу користувача.

За словами Буоно, включити або вимкнути довірений доступ можна шляхом внесення змін до реєстру Windows. Таким чином, можна змусити макроси писати більше макросів без відома жертви