Les bons formats ne meurent jamais et les macros Excel 4.0 n’échappent pas à cette règle. Aussi appelées macro XML, ce format a eu son heure de gloire jusqu’en 1993 où Microsoft a l’a remplacé par la macro VBA (Excel 5.0). Mais plusieurs décennies après, les pirates s'en servent toujours pour créer des documents qui déploient des malwares ou effectuer d'autres comportements malveillants en manipulant des fichiers dans le système de fichiers local. Car les versions actuelles d’Office prennent toujours en charge les macros XML. C’est le cas par exemple d’attaques récentes utilisant ce type de macros pour diffuser des malwares de type TrickBot, Zloader, Qbot, Dridex et de nombreuses autres souches sur les ordinateurs des victimes.

L'éditeur a décidé de changer de stratégie en décidant que désormais les macros Excel 4.0 (XML) seraient désactivées par défaut afin de protéger les clients contre ces menaces. En octobre dernier, la firme avait révélé dans une mise à jour du centre de message de Microsoft 365 qu’elle désactiverait les macros XML pour tous si les utilisateurs et les administrateurs n’avaient pas activé ou désactive manuellement la fonctionnalité.

Une désactivation difficile en vue pour les entreprises

En juillet dernier, les administrateurs Windows avaient la possibilité de se servir des stratégies groupes, cloud et ADMX pour désactiver manuellement le paramètre « activer les macros XML quand les macros VBA sont activées » au sein du Excel Trust Center. Microsoft monte d’un cran cette désactivation en l’intégrant par défaut lors de l’ouverture des macros Excel 4.0 (XML). L’exercice est particulièrement difficile quand on connait l’importance d’Excel au sein des entreprises et le développement des macros pouvant être considérés comme du shadow IT.