macrovirus in word

Malware in Office-bestanden

Microsoft Office bestanden met kwaadaardige macro’s waren in augustus 2018 verantwoordelijk voor 45% van malware-besmettingen, zo blijkt uit een analyse van Cofense Intelligence (voorheen PhishMe). Een tweede plaats (37%) werd ingenomen door de zogenaamde CVE-2017-11882 exploit: een kwetsbaarheid in het Microsoft Office geheugen management. Dit beveiligingslek was al lang bekend en kan geëxploiteerd worden door de gebruiker een besmet bestand te laten openen (bijvoorbeeld als bijlage bij een e-mailbericht). In november 2018 is er overigens een beveiligings-patch voor deze kwetsbaarheid uitgebracht.

macrovirus in word

Deze analyse geeft aan hoe gevaarlijk het kan zijn om ‘vreemde’ Office bestanden te openen. In Microsoft Office kunnen macro’s gebruikt worden, in feite een verzameling commando’s in een script dat kan worden gebruikt om bepaalde zaken in Office te automatiseren. De achterliggende programmeertaal is Visual Basic for Applications (VBA). VBA wordt gebruikt ‘achter’ Excel data invoer vensters of invulformulieren in Word. Macro’s bevatten dus uitvoerbare VBA-code en worden in het bestand opgeslagen.

In de eerste versies van Office waren macro’s gewoon ‘ingeschakeld’. Dat wil zeggen: zat er een ‘autoexec’ macro in een document, werd deze meteen na openen van het bestand gewoon uitgevoerd. Dit was toen de standaard instelling. In de laatste Office-versies is dit instelbaar in het Vertrouwenscentrum (openen via Bestand, Opties, Vertrouwenscentrum), en is de standaardinstelling dat het uitvoeren van macro’s is uitgeschakeld. Als een document met macro’s wordt geopend, ziet u dan een gele balk met de melding dat macro’s zijn uitgeschakeld. Helaas kunt u met één klik ervoor zorgen dat de macro wel wordt uitgevoerd, want daar gaat het vaak mis. De waarschuwing moet serieus worden genomen, met name als het gaat om documenten van onbekende oorsprong!

Office Vertrouwenscentrum
Schakel macro’s standaard uit in Office!

We kunnen hieruit twee dingen leren: zorg ervoor dat je alle beveiligingsupdates installeert via Windows Update (in Windows 10 is dit een volledig geautomatiseerd proces). Het tweede is dat u zelf verantwoordelijk moet handelen! Zorg ervoor dat u niet zomaar Office documenten van vreemde oorsprong opent, en laat NOOIT zo maar een macro uitvoeren! Als u het bestand toch meent te moeten openen, controleer het dan eerst via VirusTotal: een gratis online virus-, malware- en URL-scanner. U kunt een bestand uploaden en dan zal gecontroleerd worden of het bestand besmet is. De controle is niet 100% waterdicht, en u moet wel even de voorwaarden (privacy e.d.) doornemen (in 2012 is VirusTotal gekocht door Google), maar VirusTotal wordt veel gebruikt en wordt over het algemeen als betrouwbaar gezien.