Sicurezza Informatica: come proteggersi da attacchi virus macro di Excel

La sicurezza delle macro di Excel protegge il tuo computer dai virus che potrebbero essere trasmessi al tuo computer tramite le macro di Excel.

La sicurezza delle macro è cambiata in modo significativo tra Excel 2003 ed Excel 2007.

In questo articolo vediamo insieme come proteggersi al meglio da eventuali attacchi Macro di Excel.

Cos’è l’attacco macro

Un attacco macro è un caso di iniezione di codice dannoso, attacco basato su script che si presenta come un’istruzione macro all’interno di un file apparentemente sicuro. Gli hacker eseguono questi attacchi incorporando uno script per il download del malware (molto spesso) nei documenti che supportano le macro. L’applicazione dannosa dei macro si basa sulla vulnerabilità umana dell’ignoranza e della disattenzione . Esistono diverse caratteristiche degli attacchi macro che li rendono particolarmente pericolosi. Esistono però anche soluzioni efficaci per prevenire tali attacchi.

Cosa sono le Macro?

Le macro sono comandi utilizzati in molte applicazioni per automatizzare i processi di routine e ampliare significativamente il campo di utilizzo del programma. 

Ci sono molte funzioni che puoi eseguire sui dati in Excel. Creando ed eseguendo una macro, puoi elencare una serie di comandi per descrivere una procedura ripetuta frequentemente ed eseguirli senza sforzo, risparmiando molto tempo. Le macro consentono di indirizzare risorse esterne per analizzare i dati da altri file sul computer o anche accesso alla rete per scaricare elementi da server remoti.

Come funziona il Macro Virus ?

Il modo più semplice per condurre un attacco tramite macro è incorporare uno script di download in un file dall’aspetto innocuo. L’hacking moderno preferisce rubarti informazioni per venderle, crittografare i tuoi dati per estorcere un riscatto o sfruttare il tuo endpoint in altri modi a loro vantaggio. Tutti questi scenari implicano l’iniezione di software estraneo nel sistema. E le macro sono ottime in questo.

Cosa rende gli attacchi macro particolarmente pericolosi ?

Gli attacchi macro sono una seccatura per i team di sicurezza, poiché possiedono alcune proprietà che li rendono difficili da tracciare e difficile da impedire che si diffondano.

• Di facile diffusione. Le macro funzionano su diversi sistemi operativi. Quando atterrano su una macchina, possono diffondersi in modo simile virus informatici e worm Internet. La macro può contenere comandi per modificare altri file e persino modelli di file. Ciò rende qualsiasi file creato sulla macchina infetta una minaccia. Ad esempio, le macro possono anche stabilire una connessione di rete per diffondere file dannosi tramite e-mail.
• Può essere senza file. I malfattori possono scrivere macro in modo che non rimanga traccia della loro presenza sul disco rigido del computer o su qualsiasi altro dispositivo di archiviazione. Rende gli attacchi macro un’istanza reale di un attacco senza file il cui codice esiste solo nella RAM, non nell’unità della macchina vittima (come file o in qualsiasi altra forma).
• Facile da offuscare. Esistono molti algoritmi per offuscare il codice delle macro. L’offuscamento non è codifica, è una procedura molto più semplice, ma è sufficiente anche per creare il testo illeggibile per un analista umano oppure trasformarlo in un rompicapo prima di poter dire se le macro utilizzate sono maligne.

Quando l’utente è una vulnerabilità

Gli attacchi macro sfruttano probabilmente la vulnerabilità più pericolosa nella sicurezza informatica: un utente umano. La mancanza di alfabetizzazione informatica e la disattenzione rendono gli utenti un bersaglio facile per gli hacker e consentire ai criminali di aspettarsi l’esecuzione da parte dell’utente del loro pacchetto maligno. I criminali devono ingannare gli utenti due volte : prima per fargli scaricare un file con le macro e poi per convincerli a consentire l’esecuzione delle macro. Esistono vari trucchi a cui gli hacker possono ricorrere, ma sono per lo più gli stessi della maggior parte delle campagne di phishing e diffusione di malware.

Sicurezza delle macro nelle versioni attuali di Excel (2007 e successive):

Se desideri eseguire macro nelle versioni correnti di Excel, devi salvare il file Excel come cartella di lavoro abilitata per le macro. Excel riconosce le cartelle di lavoro con attivazione macro dall’estensione file .xlsm (anziché dalla consueta estensione .xlsx).

Pertanto, se aggiungi una macro a una cartella di lavoro Excel standard e desideri poter eseguire questa macro ogni volta che accedi alla cartella di lavoro, dovrai salvarla con l’estensione .xlsm.

Per fare ciò, seleziona Salva con nome dalla scheda “File” della barra multifunzione di Excel. Excel visualizzerà quindi la schermata “Salva con nome” o la finestra di dialogo “Salva con nome”.

Impostare il tipo di file su “Cartella di lavoro con attivazione macro di Excel” e quindi fare clic sul pulsante Salva .

Le diverse estensioni dei file Excel chiariscono quando una cartella di lavoro contiene macro, quindi questa di per sé è un’utile misura di sicurezza. Tuttavia, Excel fornisce anche impostazioni di sicurezza macro opzionali, che possono essere controllate tramite il menu delle opzioni.

Impostazioni di Sicurezza Macro

Le quattro impostazioni di sicurezza macro:

• “Disabilita tutte le macro senza notifica“: Questa impostazione non consente l’esecuzione di alcuna macro. Quando apri una nuova cartella di lavoro di Excel, non vieni avvisato del fatto che contiene macro, quindi potresti non essere consapevole che questo è il motivo per cui una cartella di lavoro non funziona come previsto.
• “Disabilita tutte le macro con notifica“: Questa impostazione impedisce l’esecuzione delle macro. Tuttavia, se in una cartella di lavoro sono presenti macro, una finestra popup ti avviserà che le macro esistono e sono state disabilitate. Puoi quindi scegliere di abilitare le macro all’interno della cartella di lavoro corrente, se lo desideri.
• “Disabilita tutte le macro tranne quelle con firma digitale“: Questa impostazione consente solo l’esecuzione di macro provenienti da fonti attendibili. Tutte le altre macro non vengono eseguite. Quando apri una nuova cartella di lavoro di Excel, non vieni avvisato del fatto che contiene macro, quindi potresti non essere consapevole che questo è il motivo per cui una cartella di lavoro non funziona come previsto.
• “Abilita tutte le macro“: Questa impostazione consente l’esecuzione di tutte le macro. Quando apri una nuova cartella di lavoro di Excel, non vieni avvisato del fatto che contiene macro e potresti non essere a conoscenza delle macro in esecuzione mentre il file è aperto.

Se scegli la seconda impostazione, “Disabilita tutte le macro con notifica“, quando apri una cartella di lavoro che contiene macro, ti viene fornita un’opzione per consentire l’esecuzione delle macro. Questa opzione ti viene presentata in una fascia gialla nella parte superiore del foglio di calcolo, come mostrato di seguito:

Pertanto, devi solo fare clic su questo pulsante se desideri consentire l’esecuzione delle macro.

Accesso alle impostazioni di sicurezza delle macro di Excel

Se desideri visualizzare o modificare l’impostazione di sicurezza macro di Excel nelle versioni precedenti di Excel:

• In Excel 2007: Seleziona il menu principale di Excel (selezionando il logo di Excel in alto a sinistra del foglio di calcolo) e, in basso a destra di questo menu, seleziona Opzioni di Excel per visualizzare la finestra di dialogo “Opzioni di Excel”; Dalla finestra di dialogo “Opzioni di Excel”, seleziona l’ opzione Centro protezione e, da questa, fai clic sul pulsante Impostazioni Centro protezione… ; Dall’opzione Impostazioni macro , selezionare una delle impostazioni e fare clic su OK .
• In Excel 2010 o versioni successive: Seleziona la scheda File e da questa seleziona Opzioni per visualizzare la finestra di dialogo “Opzioni Excel”; Dalla finestra di dialogo “Opzioni di Excel”, seleziona l’ opzione Centro protezione e, da questa, fai clic sul pulsante Impostazioni Centro protezione… ; Dall’opzione Impostazioni macro , selezionare una delle impostazioni e fare clic su OK .

Nota: quando modifichi l’impostazione di sicurezza della macro di Excel, dovrai chiudere e riavviare Excel affinché la nuova impostazione abbia effetto.

Posizioni attendibili nelle versioni correnti di Excel

Le versioni attuali di Excel consentono di definire percorsi attendibili, ovvero cartelle sul computer di cui Excel “si fida”. Pertanto, Excel omette i consueti controlli macro quando si aprono file archiviati in queste posizioni. Ciò significa che, se un file Excel viene inserito in una posizione attendibile, le macro in questo file verranno abilitate, indipendentemente dall’impostazione di sicurezza macro.

Microsoft ha definito alcuni percorsi attendibili predefiniti, elencati nell’impostazione dell’opzione Percorsi attendibili nella cartella di lavoro di Excel. È possibile accedervi tramite i seguenti passaggi:

• Nell’Excel 2007: Selezionare il menu principale di Excel (selezionando il logo di Excel in alto a sinistra del foglio di calcolo) e, in basso a destra di questo menu, selezionare Opzioni di Excel ; Dalla finestra di dialogo “Opzioni Excel” che viene visualizzata, seleziona l’ opzione Centro protezione e, da questa, fai clic sul pulsante Impostazioni Centro protezione… ; Seleziona l’opzione Posizioni attendibili dal menu a sinistra.
• In Excel 2010 o versioni successive: Seleziona la scheda File e da questa seleziona Opzioni ;
  Dalla finestra di dialogo “Opzioni Excel” che si apre, seleziona l’ opzione Centro protezione e da questa, fai clic sul pulsante Impostazioni Centro protezione… ;
  Seleziona l’ opzione Posizioni attendibili dal menu a sinistra.

Se desideri definire la tua posizione attendibile, puoi farlo come segue:

• Dall’opzione Posizioni attendibili , fai clic sul pulsante Aggiungi nuova posizione… ;
• Trova la directory che desideri rendere attendibile e fai clic su OK .

Attenzione: non è consigliabile collocare gran parte dell’unità, come l’intera cartella “Documenti”, in una posizione attendibile, poiché ciò espone al rischio di consentire accidentalmente macro provenienti da fonti non attendibili.

Ercole Palmeri