La protección de nuestros datos es algo muy delicado y es que, no solo los hackers pueden acceder a ellos por medio del navegador, como sabemos, dentro de nuestras computadoras hay un sin fin de archivos que pudieran ser el columpio perfecto para cualquier atacante.

No es una sorpresa que estos archivos corran mayor peligro en Microsoft que en Linux, por ejemplo, las tan famosas Macros de Office, y es que, estas se prestan para realizar cambios en cualquier parte del equipo que queramos, desde luego sabiendo lo que hacemos.

En este sentido, la firma de Redmond ha estado trabajando en la implementación de una “nueva tecnología” que nos permita proteger nuestro equipo de las macros y cualquier otra amenaza que pudiera irrumpir en el correcto funcionamiento de nuestro equipo o en la protección de nuestros datos.

Microsoft ha anunciado recientemente que ahora las aplicaciones de Office 365 admitirán una interfaz llamada Antimalware Scan (AMSI), que como explican en su blog, esta permitirá que los motores de los antivirus escaneen, detecten y bloqueen macros maliciosos.

“AMSI, es un estándar de interfaz genérico que permite que las aplicaciones y servicios se integren con cualquier producto antimalware presente en una máquina”.

¿Como funciona?

Cuando el antivirus detecte que una macro invoca una función o un método de alto riesgo, Office detendrá su ejecución de la macro, informará del problema y cerrará la sesión para evitar daños adicionales.

Este proveedor antimalware independiente, que utiliza las técnicas más comunes de detección y protección contra malware que se puedan hacer contra este tipo de aplicaciones:

“AMSI esta diseñado para permitir las técnicas de detección y protección de malware más comunes provistas por los productos antimalware de hoy en día que se pueden integrar en las aplicaciones. Es compatible con una estructura de llamadas que permite el escaneo de archivos y memoria o secuencias, verificaciones de reputación de direcciones URL / IP de origen de contenido y otras técnicas. AMSI también admite la noción de una sesión para que los proveedores de antimalware puedan correlacionar diferentes solicitudes de escaneo”.

Máxima protección

El mayor beneficio que aporta AMSI es que puede funcionar con prácticamente cualquier antivirus, a pesar de venir con la integración de Windows Defender de manera predeterminada, adicionalmente ésta interfaz también admiten integración con productos de terceros.

La firma confirma que estaba trabajando es esta funcionalidad, pues, anteriormente fue lanzada en Office VBA y la adopción por Windows Defender ATP. Según menciona Microsoft, AMSI detecta cualquier comportamiento de la macro sin importar el contenido:

“Pocas semanas después del lanzamiento de esta nueva instrumentación en Office VBA y la adopción por Windows Defender ATP, vimos este efecto multiplicador, con señales de unos cientos de dispositivos que protegen varias decenas de miles de dispositivos. Debido a que la función Office AMSI expone los comportamientos de la macro sin importar el contenido, el lenguaje u ofuscación, las señales de una parte del mundo pueden traducirse en protección para el resto del mundo; esto es poderoso”.

De forma predeterminada para Office 365

Esta interfaz AMSI ya está integrada y habilitada en las aplicaciones de Office 365, tales como: Word, Excel, PowerPoint, Access, Visio y Publisher.

Windows Defender y AMSI

Esta nueva funcionalidad ofrecerá una protección extra a usuarios de Windows 10 con Windows Defender, ya que, su motor basado en la nube usa la integración AMSI para determinar si una macro esta comprometida o no.

“Cuando los dispositivos encuentran documentos con código macro sospechoso, Windows Defender AV envía metadatos y otras características de aprendizaje automático, junto con señales de Office AMSI, a la nube. Los veredictos por aprendizaje automático se traducen en protección en tiempo real para el resto de los clientes de Windows Defender AV con protección de nube habilitada “.

Por último es importante destacar que si tenemos la opción de “Habilitar todas las macros“, no contaremos con esta protección.

Más en TekCrispy