Für die einen sind sie Teufelszeug, für die anderen unverzichtbare Tools, um Prozesse in Microsoft-Office-Umgebungen zu automatisieren: Makros, auch als Skripte bekannt, die in Visual Basic for Applications (VBA) geschrieben sind. So sind sie einerseits extrem praktisch, um etwa Excel-Dateien automatisch auszuwerten oder firmenspezifische Funktionen in Word etc. zu realisieren. Auf der anderen Seite gelten VBA-Makros unter Sicherheitsexperten als eine der großen Gefahren für die IT-Sicherheit, da sie als ein Einfallstor für Ransomware und andere digitale Schädlinge gelten.

Makro-Blockade wieder aufgehoben

Dementsprechend begrüßte man auf Security-Seite, als Microsoft im Februar ankündigte, ab der Version 2203 die VBA-Makros in Access, Excel, PowerPoint, Visio und Word in den Default-Einstellungen standardmäßig zu deaktivieren. Die Versionen Office LTSC, Office 2021, Office 2019, Office 2016, and Office 2013 sollten später folgen. Umso größer ist jetzt der Aufschrei, weil der Konzern im Microsoft 365 Blog verkündet, "Following user feedback, we have rolled back this change…". Zahlreiche Medien vermuteten prompt, dass wohl die Proteste von Unternehmen und Usern zu groß waren und der Konzern deshalb nun zurückrudere.

Andere, wie etwa Dr.Windows, sehen für die Reaktion einen anderen Grund. Sie spekulieren darüber, dass Microsoft mit den neuen Standardeinstellungen wohl mehr blockte als vorgesehen. So seien wohl auch Makros in Dateien, die etwa via Microsoft Teams heruntergeladen wurden und aus internen Quellen stammten, geblockt worden.

Makros und das MOTW-Attribut

Um dies zu verstehen, muss man sich etwas mit der Methode beschäftigen, wie Microsoft Makros bei Dateien aus dem Internet blockiert - denn nur Internet-Makros blockierte Microsoft in den geänderten Default-Einstellungen. Öffnet ein Benutzer eine Anlage oder eine nicht vertrauenswürdige Office-Datei mit Makros aus dem Internet, weist eine Benachrichtigung auf das Risiko hin, dass die Datei VBA-Makros enthält, die aus dem Internet bezogen wurden. Gleichzeitig enthält er Informationen über das Sicherheitsrisiko bei der Verwendung von Makros durch bösartige Akteure, sichere Praktiken zur Verhinderung von Phishing und Malware sowie Anweisungen zur Aktivierung dieser Makros.

Windows erkennt solche Dateien, indem es sie mit dem Attribut "Mark of the Web" (MOTW) versieht, wenn sie von einem nicht vertrauenswürdigen Ort (Internet oder Restricted Zone) stammen. Dies geschieht allerdings nur, wenn sie ein einem NTFS-Dateisystem gespeichert werden. Wird die Datei dagegen auf einem FAT-32-Datenträger gesichert, wird laut Microsoft dagegen das MOTW-Attribut nicht gesetzt.

Was Admins, jetzt tun können

Und genau dieses MOTW-Attribut wurde wohl auch gesetzt, wenn in Teams Daten aus internen Quellen heruntergeladen, weshalb Microsoft die Makro-Blockierung eventuell wieder aufhob. Allerdings betont der Konzern, dass dies nur eine temporäre Änderung sei. Sobald man einige Änderungen vorgenommen habe, um die Usability zu verbessern, werde die Makro-Ausführung in den Default-Einstellungen wieder geblockt. Admins, die nicht so lange warten wollen, können die Makros aus dem Internet auch mit Hilfe der Gruppen-Richtlinien blockieren. Das genaue Vorgehen beschreibt Microsoft hier. Eine andere Option, die etwa zahlreiche Virenscanner bieten, ist, die Ausführung von Makros mit Hilfe dieser Tools zu unterbinden.