Kötü amaçlı yazılımları yaymanın çok bilinen yollarından biri, belgelerdeki makrolara kötü amaçlı komutlar eklemek. Microsoft Office dosyalarının birçoğunda ise, bunun karşılığı makrolardır. Diğer bir deyişle, Word belgeleri, Excel elektronik tabloları veya Power Point sunumları. Ortalama bir şirket çalışanı her gün vaktini bu tarz dosyalarla harcıyor.
Bu sorunun başlangıcı 20 yıl öncesine dayanıyor. Yani, en hafif tabirle, çözüm zaman aşımına uğradı. Geçtiğimiz Şubat ayında Microsoft, internetten indirilen belgelerde makroların çalışmasını engelleyeceğini duyurdu. Ancak, Temmuz ayı başlarında, Microsoft Office kullanıcıları, Microsoft’un bu engelleme kararından geri çekildiğini fark etti. Bir Microsoft sözcüsü, kararın geçici ve “geri bildirime dayalı” olduğunu belirtse de, şirket bu kararla ilgili henüz resmi bir açıklama yapmadı. Ne olursa olsun, makroların ne olduğunu, kurumsal siber güvenlik açısından ne çeşit tehditler oluşturabileceklerini ve bu tehditlere karşı korunma yöntemlerini hatırlamak için iyi bir zaman.
Makro nedir ve neden tehlikelidir?
Microsoft Office kullanıcıları genellikle birçok işlemi otomatikleştirir. Bunun için de, makro olarak bilinen belirli bir algoritmayı veya eylem dizisini yazarsınız. Basit bir örnek: Bir muhasebeci, her ay standart bir rapor hazırlıyor. Zaman kazanmak adına, ikinci sütundaki müşteri adlarının otomatik olarak kalın harfler ile öne çıkması için bir makro yazıyor.
Makrolar, kısmen basitleştirilmiş, fakat bir programlama dili olan VBA’da (Visual Basic for Applications) yazılıyor. Her zaman olduğu gibi, saldırganlar bunu kendi amaçları için kullanabilirler.
Şunu belirtmekte fayda var: Makroların ne olduğuna aşina olmak, Office Suite hakkında derin bir bilgi birikimine sahip olmak demek. Ancak, özgeçmişlerinde ne yazarsa yazsın, tüm çalışanların sahip olmadığı bir bilgi birikimi bu. Bazıları makroların varlığından haberdar bile değil. Ancak siber suçlular, makroları, rutin işleri otomatikleştirmek için zararsız algoritmalar üretmek yerine kötü niyetli komutlar oluşturmak için kullanıyor.
Nasıl çalışıyorlar?
Genellikle bir şirkete yönelik saldırı, çalışanlara kötü niyetli toplu e-postaların gönderilmesiyle başlar. Bu e-posta içerikleri; iş teklifleri, şirket haberleri, yüklenici faturaları, rakipler hakkında çeşitli bilgiler gibi görünebilir. Saldırının karmaşıklığını, sadece saldırganların hayal gücü belirler. Temel amaç, alıcının ekteki dosyayı açmasını sağlamak ya da verilen bağlantıya tıklayıp ardından belgeyi indirerek onu açmasını sağlamak.
Siber suçluların ihtiyacı olan, dosyadaki zararlı makronun bir şekilde çalıştırılması. Gömülü makrolar önceden otomatik çalışırdı. Ancak Microsoft bu işleve sınırlandırma getirdi. Şimdi ise, kullanıcı internetten bir dosya indirdiğinde makroların devre dışı bırakıldığı konusunda bilgilendiriliyor.
Şimdi tüm sorunlar çözüldü, değil mi? Tam olarak öyle denemez. Çoğu kullanıcı, İçeriği Etkinleştir’e düşünmeden tıklayıp bahsi geçen makroların otomatik yürütülmesine izin veriyor. Bu da kötü amaçlı yazılımlara “hoş geldiniz” demek. Genellikle saldırganlar da hedef şirketin altyapısına bu yöntemle erişim sağlıyor. Ayrıca, yukarıda da değinildiği gibi, çoğu çalışan, İçeriği Etkinleştir’e yaptığı masum bir tıklamadan sonra ortaya çıkabilecek sorunlar hakkında bir fikre sahip değil.
Microsoft nihayet verilebilecek tek doğru kararı verdi: Kullanıcıya bir seçenek vermek yerine, indirilen dosyalarda varsayılan olarak makroları engellemek. Bu iyi haber karşısında, tüm bilgi güvenliği uzmanlarının yüzü güldü. Yenilik, bu yıl Nisan ayının başlarında hayata geçirildi. Kullanıcılar, bir buton yerine, makroların tehlikeleri konusunda bilgilendirme yapan bir gönderinin bağlantısını içeren bir güvenlik uyarısıyla karşılaştı. Ancak bu sevinç kısa sürdü ve değişiklik kısa bir süre sonra geri alındı.
Kendinizi nasıl koruyabilirsiniz?
Büyük şirketlerin BT yöneticileri, güvenlik politikası düzeyinde makroları devre dışı bırakma yetkisine sahip. Dolayısıyla, iş akışlarınızda makro kullanmanız gerekmiyorsa, size de devre dışı bırakmanızı öneriyoruz. Böylece, belgeyi makro ile açan başka bir kullanıcı farklı bir uyarı görecek:
Herhangi bir nedenle bu seçeneği kullanamıyorsanız, Microsoft indirilen dosyalarda varsayılan makro engellemeyi yeniden etkinleştirene kadar, tüm iş cihazlarını, güvenilir güvenlik çözümleri ile korumak büyük önem taşıyor. Ayrıca, tüm şirket çalışanlarına, siber güvenliğin temel noktaları hakkında, özellikle aşağıda belirtilen ana konulara odaklanarak eğitim verilmesini öneriyoruz:
- Güvendiğiniz bir kişi veya işletme tarafından gönderilmiş gibi görünse bile, beklemediğiniz dosyaları kesinlikle indirmeyin ve açmayın. Dolandırıcılar tarafından gönderilmiş olabilirler.
- İnternetten indirdiğiniz veya e-posta ile gelen dosyalarda, içeriği etkinleştirmeden önce her zaman düşünün. Normal içerik görüntüleme söz konusuysa, buna gerek yok.
- E-postada veya internet sitesinde bir kişi, içeriği etkinleştirmenizi isterse, özellikle tetikte olun.