Getty Images
Microsoft hat den Kern der Sicherheitsgemeinschaft mit einer Entscheidung verblüfft, den Kurs stillschweigend umzukehren und zuzulassen, dass nicht vertrauenswürdige Makros standardmäßig in Word und anderen Office-Anwendungen geöffnet werden.
Im Februar kündigte der Softwarehersteller eine große Änderung an, die er erlassen habe, um die wachsende Geißel von Ransomware und anderen Malware-Angriffen zu bekämpfen. In Zukunft werden aus dem Internet heruntergeladene Makros standardmäßig vollständig deaktiviert. Während Office zuvor Warnbanner bereitstellte, die mit einem Klick auf eine Schaltfläche ignoriert werden konnten, boten die neuen Warnungen keine Möglichkeit, die Makros zu aktivieren.
„Wir werden unsere Benutzererfahrung für Makros weiter anpassen, wie wir es hier getan haben, um es schwieriger zu machen, Benutzer dazu zu verleiten, bösartigen Code über Social Engineering auszuführen, und gleichzeitig einen Pfad für legitime Makros aufrechtzuerhalten, die gegebenenfalls über vertrauenswürdige Herausgeber und aktiviert werden können /oder vertrauenswürdige Speicherorte“, erläutert Tristan Davis, Program Manager von Microsoft Office, den Grund für den Umzug.
Sicherheitsexperten – einige, die die letzten zwei Jahrzehnte damit verbracht haben, Kunden und Mitarbeiter mit frustrierender Regelmäßigkeit mit Ransomware, Wiper und Spionage zu infizieren – bejubelten die Änderung.
„Sehr schlechtes Produktmanagement“
Jetzt hat Microsoft unter Berufung auf nicht offengelegtes „Feedback“ stillschweigend den Kurs umgekehrt. In Kommentaren wie diesem, die am Mittwoch zur Februar-Ankündigung gepostet wurden, schrieben verschiedene Microsoft-Mitarbeiter: „Basierend auf dem Feedback machen wir diese Änderung aus der Current Channel-Produktion rückgängig. Wir schätzen das Feedback, das wir bisher erhalten haben, und arbeiten daran, diese Erfahrung zu verbessern.“
Das knappe Eingeständnis kam als Reaktion auf Benutzerkommentare, in denen gefragt wurde, warum die neuen Banner nicht mehr gleich aussähen. Die Microsoft-Mitarbeiter antworteten nicht auf die Fragen der Forenbenutzer, was das Feedback war, das die Umkehrung verursachte, oder warum Microsoft es nicht vor dem Rollout der Änderung kommuniziert hatte.
„Es fühlt sich an, als hätte etwas dieses neue Standardverhalten vor kurzem rückgängig gemacht“, schrieb ein Benutzer namens Vincehardwick. „Vielleicht setzt Microsoft Defender die Sperre außer Kraft?“
Nachdem Vincehardwick erfahren hatte, dass Microsoft die Blockierung rückgängig gemacht hatte, ermahnte er das Unternehmen. „Eine kürzlich implementierte Änderung des Standardverhaltens zurückzusetzen, ohne zumindest anzukündigen, dass das Zurücksetzen bevorsteht, ist sehr schlechtes Produktmanagement“, schrieb der Benutzer. „Ich schätze Ihre Entschuldigung, aber es hätte wirklich gar nicht nötig sein sollen, es ist nicht so, als wäre Microsoft neu in dieser Sache.“
In den sozialen Medien beklagten Sicherheitsexperten die Umkehrung. Dies twitternvom Leiter der Threat Analysis Group von Google, die nationalstaatlich gefördertes Hacking untersucht, war typisch.
„Traurige Entscheidung“, schrieb Google-Mitarbeiter Shane Huntley. „Das Blockieren von Office-Makros würde unendlich viel mehr bewirken, um sich tatsächlich gegen echte Bedrohungen zu verteidigen, als alle Blog-Posts mit Bedrohungsinformationen.“
Traurige Entscheidung. Das Blockieren von Office-Makros würde unendlich mehr tun, um sich tatsächlich gegen echte Bedrohungen zu verteidigen, als alle Blog-Posts von Intel mit Bedrohungen.
Ich sehe unsere Hauptaufgabe in der Bedrohungsaufklärung immer darin, die Veränderungen zum Schutz der Menschen voranzutreiben. https://t.co/JFMeyzefov
– Shane Huntley (@ShaneHuntley) 8. Juli 2022
Allerdings kritisieren nicht alle erfahrenen Verteidiger den Wechsel. Jake Williams, ein ehemaliger NSA-Hacker, der jetzt Executive Director of Cyber Threat Intelligence bei der Sicherheitsfirma SCYTHE ist, sagte, die Änderung sei notwendig, weil der vorherige Zeitplan in der Frist für die Einführung einer so großen Änderung zu aggressiv gewesen sei.
„Das ist zwar nicht das Beste für die Sicherheit, aber genau das, was viele der größten Kunden von Microsoft brauchen“, sagte Williams gegenüber Ars. „Die Entscheidung, Makros standardmäßig abzuschalten, wird sich auf Tausende (mehr?) geschäftskritischer Workflows auswirken. Bis zum Sonnenuntergang wird mehr Zeit benötigt.“
Microsoft PR hat die Änderung in den fast 24 Stunden seit ihrem ersten Auftauchen nicht kommentiert. Eine Vertreterin sagte mir, sie überprüfe den Status.