Birinchidan, biz hujjatimizni qanday yetkazishimiz mumkinligini hisobga olishimiz kerak. Zararli macro hujumlari keng tarqalganligi sababli, ko‘plab email provayderlar va spam filter tizimlari Microsoft Office hujjatlarini avtomatik ravishda bloklashadi. Shuning uchun, ko‘pchilik holatlarda biz hujjatni oddiy ilova sifatida yubora olmaymiz. Bundan tashqari, aksariyat phishingga qarshi treninglar foydalanuvchilarni email orqali yuborilgan Office hujjatlarida macrolarni yoqish xavfi haqida ogohlantiradi.
Payload’ni etkazish va nishon hujjatni ochishini ta’minlash uchun biz pretext (bahona yoki asosli sabab) ishlatib, hujjatni yuklab olish havolasi orqali taqdim qilishimiz mumkin.
Agar biz hujjatni email yoki yuklab olish havolasi orqali muvaffaqiyatli yetkazsak, fayl Mark of the Web (MOTW) bilan belgilangan bo‘ladi.
MOTW bilan belgilangan Office hujjatlari Protected View rejimida ochiladi, bu esa hujjatni tahrirlash va o‘zgartirish imkoniyatini cheklaydi va macro yoki embedded objectsni ishga tushirishni bloklaydi.
Foydalanuvchi MOTW belgilangan hujjatni ochganda, Office ekranda Enable Editing tugmasi ko‘rsatilgan ogohlantirish oynasini chiqaradi.
12-rasm: Protected View ish faoliyatida
Agar foydalanuvchi Enable Editing tugmasini bossin, Protected View o‘chiriladi. Eng oddiy yo‘l — foydalanuvchini bu tugmani bosishga ishontirish, masalan, hujjatning qolgan qismini xiralashtirib qo‘yib, uni “ochish” uchun tugmani bosishni so‘rash.
Bundan tashqari, biz Microsoft Publisher kabi Protected View’siz macro qo‘llab-quvvatlovchi Office dasturlariga ham suyanishimiz mumkin, ammo bu dasturlar kamdan-kam hollarda o‘rnatilgan bo‘ladi.
Yakuniy jihat — Microsoft o‘zining makrolarni sukut bo‘yicha bloklash siyosatini e’lon qilgan. Bu o‘zgarish Access, Excel, PowerPoint, Visio va Word kabi dasturlarga ta’sir qiladi. Microsoft bu siyosatni Office 2013dan Office 2021gacha bo‘lgan versiyalarda joriy qilgan. Har bir kanal uchun aniq joriy etilgan sanalar Microsoft Learn sahifasida keltirilgan.
E’lon shuni bildiradiki, Internet orqali yetkazilgan fayllardagi macrolar endi oddiygina bir tugmani bosish orqali ishga tushirilmaydi. Masalan, foydalanuvchi makro o‘z ichiga olgan hujjatni ochganda, endi ular "Enable Content" tugmasi bilan emas, balki quyidagidek ogohlantiruvchi matn bilan kutib olinadi:
13-rasm: Ilgari bitta tugma bosish bilan makroni ishga tushirish mumkin edi
14-rasm: Endi "Learn More" tugmasi paydo bo‘ladi
Agar foydalanuvchi Learn More tugmasini bossin, Microsoft sahifasi ochiladi va unda makro faollashtirishning xavflari tushuntiriladi.
Bundan tashqari, Microsoft hujjatning Properties bo‘limida Unblock belgisini qo‘yish orqali makroni faollashtirishni ko‘rsatadi.
Bu degani — endilikda zararli makroning ishlashi uchun foydalanuvchini hujjatga o‘tib, Unblock ni qo‘yishga ishontirishimiz kerak bo‘ladi.