微软关闭了两种攻击途径：Office 宏、RDP 暴力破解

微软正试图关闭网络犯罪分子用来攻击用户和网络的几条路线。

这家企业 IT 巨头默认阻止下载的 Office 文档中的 Visual Basic for Applications (VBA) 宏的策略在短暂暂停后再次激活，以解决用户在安全防御方面遇到困难的反馈。

同样在本周，微软在 Windows 11 中启用了一项默认设置，旨在阻止或减缓明显的远程桌面协议 (RDP) 暴力攻击。

这两项政策都希望关闭犯罪分子多年来一直使用的途径，以强行侵入系统、窃取数据和传播恶意代码。

对于这家软件巨头来说，宏问题已经成为一个特别棘手的问题。

“多年来，Microsoft Office 提供了强大的自动化功能，称为活动内容，最常见的是宏，”微软首席产品经理 Kellie Eickmeyer 在 2 月份的博客文章中写道，当时这家 IT 巨头宣布了默认阻止的计划在下载的或来自 Internet 的 Office 文件中运行的宏。

“虽然我们提供了一个通知栏来警告用户这些宏，但用户仍然可以通过单击一个按钮来决定启用宏。不良行为者将 Office 文件中的宏发送给在不知情的情况下启用它们的最终用户，传递恶意有效负载以及影响可能很严重，包括恶意软件、身份泄露、数据丢失和远程访问。”

Eickmeyer 补充说：“为了保护我们的客户，我们需要让从互联网获取的文件中启用宏变得更加困难。”

该政策是在 Access、Excel、PowerPoint、Visio 和 Word 中默认阻止这些特定的宏，尽管在几个月（有时是负面的）用户反馈之后，微软暂时停止了这一举措。投诉的范围从批评如何实施阻止到它对某些用户系统的负面影响。

在本周对原始公告的更新中，Eickmeyer 写道，微软“正在恢复在 Current Channel 中推出这一变化。根据我们对客户反馈的审查，我们已经对最终用户和我们的 IT 管理员文档进行了更新，以更清楚地说明您在不同情况下有哪些选择。”

最终用户和IT 管理员可以查看下面链接了解更多信息：

https://support.microsoft.com/en-us/topic/a-potentially-dangerous-macro-has-been-blocked-0952faa0-37e7-4316-b61d-5b5ed6024216

https://docs.microsoft.com/en-gb/DeployOffice/security/internet-macros-blocked

多年来，宏一直是一个安全问题，微软在 2016 年发布了一个工具，允许管理员围绕允许这些脚本运行的时间和地点设置策略。此外，在允许宏运行之前，还会询问用户是否真的想运行宏。

即使是现在，挑战仍在继续。HP 的 Wolf Security 威胁情报小组本月撰写了有关用于分发 Windows 恶意软件的 OpenDocument 文件的文章。这些文档通过电子邮件发送给标记，如果打开，将询问用户是否应该更新引用其他文件的字段，如果他们单击“是”，则打开一个 Excel 文件，另一个提示询问是否应该启用宏. 如果用户启用宏，他们的系统就会感染开源的 AsyncRAT 后门。

https://threatresearch.ext.hp.com/stealthy-opendocument-malware-targets-latin-american-hotels/

关于 RDP 暴力攻击，从现在开始构建的 Windows 11 包含一个默认帐户锁定策略，该策略至少应该能够减缓潜在的入侵者。

在暴力攻击中，网络犯罪分子使用自动化工具来猜测某人的帐户密码：这些工具会遍历大量密码短语，直到其中一个有效并登录到受害者的帐户。根据微软企业和操作系统安全副总裁戴夫韦斯顿的推文，这些工具被用来传播勒索软件和犯下其他罪行。

Windows 11 版本（特别是 Insider Preview 22528.1000 及更高版本）的默认策略将在 10 次尝试登录失败后自动锁定帐户 10 分钟。用户可以对此进行调整，更改触发锁定的失败登录尝试次数以及帐户将被锁定多长时间。

在他的推文中，韦斯顿写道：“这种控制将使暴力破解更加困难，这太棒了。”

在去年的一篇文章中，Malwarebytes Labs 的研究人员详细介绍了 RDP 暴力攻击，称它们“对连接互联网的 Windows 计算机构成了严重的、持续的危险”。

“虽然有很多方法可以侵入连接到 Internet 的计算机，但最受欢迎的目标之一是远程桌面协议 (RDP)，这是 Microsoft Windows 的一项功能，允许某人远程使用它，”他们写道。“它是你电脑的前门，任何人只要有正确的密码，就可以从互联网上打开它。”

Malwarebytes Labs 的研究人员概述了多种防止 RDP 暴力攻击的方法，从永久关闭 RDP 到使用强密码、多因素身份验证和 VPN，以及在帐户被锁定之前限制猜测次数。

巴黎互联网电缆袭击的未解之谜 

雇佣黑客：对手雇佣“网络雇佣兵”