Microsoft deaktiviert Excel 4.0 Makro-Support

[English]Gute Nachrichten in Sachen Sicherheit und Office, denn Microsoft stopft endlich ein Einfallstor für Malware, indem der standardmäßig vorhandene Support für Excel 4.0 Makros deaktiviert wird. Damit wurde eine angekündigte und längst überfällige Schwachstelle entschärft.


Anzeige

Problem Excel 4.0 Makros

Excel 4.0-Makros sind ein uralter Zopf, der im Jahr 1992 mit Microsoft Excel 4.0 eingeführt wurde. Benutzer können direkt Makro-Befehle in Zellen einer Kalkulationstabelle einfügen und diese dann ausführen lassen (ein Beispiel findet sich hier). Zudem besteht die Möglichkeit, diese Excel 4.0-Makros in Excel Macro-Dateien (.xml-Dateien) zu speichern. Microsoft ist aber bereits in Excel 5.0 auf die Möglichkeit umgeschwenkt, Makros als VBA-Code zu generieren und auszuführen. Dieser Ansatz wird auch empfohlen, aber die Unterstützung von Excel 4.0-Makros wurde in allen neueren Office-Versionen beibehalten.

Cyber-Kriminelle missbrauchten diesen Mechanismus, um Malware über Excel 4.0-Makros auf Nutzersystemen zu verbreiten. Die Akteure hinter TrickBot, Qbot, Dridex, Zloader etc. greifen auf Excel 4.0-Makros als primären Downloader für ihre Malware zurück. Sicherheitsanbieter und Firmen wie VMware warnen seit längerem vor diesem Ansatz und beklagen einen starken Anstieg dieses Infektionswegs in den letzten zwei Jahren.

Deaktivierung der Excel 4.0-Makros angekündigt

Ich hatte es im Oktober 2021 im Blog-Beitrag Microsoft deaktiviert demnächst Excel 4.0-Makros in Office 365 thematisiert. Anwender und Administratoren konnten seit Herbst 2021 die Ausführung von Excel 4.0-Makros in Office 365 in den Einstellungen des Trust Centers deaktivieren. Dabei gab es folgenden Zeitplan:

  • Wer Office 365 als Insider im Slow-Channel nutzt, wird zwischen Ende Oktober und Anfang November 2021 diese Anpassung zur Deaktivierung erhalten.
  • Bei Nutzer von Office 365, die Updates über den Current Channel erhalten, werden die Excel 4.0-Makros von Anfang bis Mitte November 2021 deaktiviert.
  • Alle Anwender, die sich im Office 365 Monthly Enterprise Channel (MEC) befinden, erhalten die Deaktivierung der Excel 4.0-Makros Mitte Dezember 2021.

Microsoft empfiehlt in diesem Supportbeitrag sogar die Deaktivierung der Makros. Es gibt wohl auch Gruppenrichtlinien dazu, wobei dieser Ansatz wohl einige Tücken birgt, weil nicht alle Richtlinien in allen Office-Versionen verfügbar sind.


Anzeige

Microsoft schreibt auch, dass Nutzer, wo diese Einstellungen per Gruppenrichtlinien verwaltet werden oder die die Einstellungen im Trust Center entsprechend angepasst haben, nicht von den obigen Änderungen betroffen sind. Alle Nutzer, die diese Anpassung noch nicht erhalten haben oder sofort Excel 5.0-Makros deaktivieren wollen, finden in diesem Techcommunity-Beitrag entsprechende Hinweise.

Jetzt sind Excel 4.0-Makros deaktiviert

Jetzt haben die Kollegen von Bleeping Computer das Thema erneut in diesem Artikel aufgegriffen und weisen in diesem Tweet auf den Sachverhalt hin.

Excel 4.0 Macros deactivated by default

Microsoft hat das Ganze im Techcommunity-Blog-Beitrag Excel 4.0 (XLM) macros now restricted by default for customer protection aufbereitet. Dazu heißt es:

In July of 2021, we released a new Excel Trust Center setting option to restrict the usage of Excel 4.0 (XLM) macros. As planned, we have now made this setting the default when opening Excel 4.0 (XLM) macros. This will help our customers protect themselves against related security threats.

Excel 4.0 (XLM) Makros sind nun in Excel (Build 16.0.14427.10000) standardmäßig deaktiviert.  Administratoren können diese Einstellung auch über die vorhandene Richtliniensteuerung (benötigt die neuesten Office Administrative Template-Dateien) für Microsoft 365-Anwendungen oder über die Einstellungen (siehe auch) konfigurieren. Details sind im Techcommunity-Blog-Beitrag Excel 4.0 (XLM) macros now restricted by default for customer protection nachzulesen.

Ähnliche Artikel:
Microsoft deaktiviert demnächst Excel 4.0-Makros in Office 365
Excel XLL-Addins für Malware-Installation missbraucht
Trojaner Qakbot kommt über präparierte Excel-Dateien
0patch fixt ms-officecmd RCE-Schwachstelle in Windows

Access-Lock-Bug durch Microsoft Office Updates (11. Januar 2022)
Bug: Outlook.com erlaubt keine Kontakterstellung mehr
Patchday: Microsoft Office Dezember 2021 Updates (14.12.2021) verursacht Access-Probleme
Windows 10: Outlook-Suche erneut beschädigt oder durch Microsoft gefixt? (Jan. 2022)
Dezember 2021-Sicherheitsupdate KB5008212 killt die Outlook-Suche
Windows 11: Fix für kaputte Outlook-Suche
Outlook.com: IMAP-XOAUTH2-Anmeldung streikt – einige Mail-Clients betroffen
Daumenschraube: Monats-Abo für Microsoft Office 365 soll 20 % teurer werden


Anzeige

Dieser Beitrag wurde unter Office, Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Microsoft deaktiviert Excel 4.0 Makro-Support

  1. Sascha sagt:

    Servus,

    leider funktioniert mein Login bei https://techcommunity.microsoft.com/t5/excel-blog/excel-4-0-xlm-macros-now-restricted-by-default-for-customer/ba-p/3057905 nicht, gibt aber auch keine Fehlermeldung. Vielleicht hat jemand eine Idee, wir haben Office 2021 im Einsatz (Version 2108, Build 16.0.14332.20216) aber das funktioniert das Deaktivieren der 4er Macros nicht per GPO.

    Setze ich die Einstellung zentral per GPO (prevent excel from running XLM macros == enabled) dann sehe ich in der Registry folgenden Eintrag:
    HKCU\SOFTWARE\Policies\Microsoft\office\16.0\excel\security\xl4macrooff ==1)
    Aber die Aktivierung/Deaktivierungsoption im Trustcenter ist jedoch weiterhin möglich.

    Setze ich die Einstellung manuell aka Häkchen raus bei "Excel 4.0 Makros aktivieren wenn VBA Makros aktiviert sind" dann wird folgender Wert unter HKCU\SOFTWARE\Microsoft\Office\16.0\Excel\Security\XL4MacroWarningFollowVBA == 0 gesetzt (mache ich das Häkchen wieder rein dann gibts den Switch auf == 1 also scheint es schon die Option zu sein).

    Was genau stimmt hier nicht? Aktuellste ADMX Templates habe ich zuvor eingespielt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.