Implementation

Office Macro Beveiliging: Blokkeren van Malware Delivery via Documenten

📊 Operational 👥 IT Operations, Security Engineers, M365 Administrators ⏱️ 28 min lezen
CLOUD FIREWALL WAF Enabled DDoS Protection ! Protected Azure Firewall Threat intelligence enabled | 12,456 rules active
Executive Summary

Kwaadaardige Office-macro’s bestaan al decennialang, maar vormen nog steeds een van de meest effectieve manieren voor aanvallers om binnen te komen bij organisaties. De combinatie van alomtegenwoordige Office-installaties, krachtige automatiseringsmogelijkheden en aangeleerd gebruikersgedrag zorgt ervoor dat dit aanvalspad moeilijk uit te roeien is. Vrijwel iedere medewerker werkt dagelijks met Word- en Excel-documenten, ontvangt offertes, rapporten en facturen van externe partijen en is gewend geraakt aan de melding dat macro’s soms moeten worden ingeschakeld om volledige functionaliteit te krijgen. Tegelijkertijd bieden macro’s, via VBA, toegang tot het bestandssysteem, netwerkverbindingen en Windows-API’s – precies de bouwstenen die een aanvaller nodig heeft om malware te downloaden, uit te voeren en in het netwerk te verankeren.

Aanvallers spelen daar doelbewust op in met gerichte phishingcampagnes. Een document lijkt afkomstig van een vertrouwde leverancier of partner en bevat een ogenschijnlijk legitieme boodschap zoals: "Schakel macro’s in om de factuur te bekijken". Een gebruiker die in het verleden vaker met legitieme macro’s heeft gewerkt, klikt op ‘Inhoud inschakelen’ zonder zich te realiseren dat hij daarmee de deur openzet voor een besmetting met bijvoorbeeld Emotet, Trickbot of vergelijkbare malwarefamilies. De daadwerkelijke impact – bijvoorbeeld het activeren van ransomware of het onopvallend wegsluizen van gegevens – wordt vaak pas dagen later zichtbaar.

Onderzoek naar grootschalige campagnes laat zien dat macro-gebaseerde documenten verantwoordelijk zijn voor een substantieel deel van de initiële compromissen in op bedrijven gerichte aanvallen. Ook voor Nederlandse overheidsorganisaties is dit geen theoretisch risico: het Nationaal Cyber Security Centrum (NCSC) waarschuwt regelmatig voor gerichte campagnes waarin malafide Office-documenten worden ingezet tegen specifieke sectoren. In veel gevallen had een strikter macrobeleid deze aanvallen volledig kunnen blokkeren.

Essentieel Acht Strategie #3 richt zich daarom op het structureel harden van de Office-omgeving. In plaats van eindgebruikers te confronteren met waarschuwingsbalken en de keuze om macro’s al dan niet toe te staan, worden beleidsinstellingen zo ingericht dat macro’s uit niet-vertrouwde bronnen standaard niet kunnen worden uitgevoerd. Legitieme, bedrijfskritische macro’s uit interne bronnen worden expliciet toegestaan via digitale ondertekening of gecontroleerde vertrouwde locaties. Zo wordt de beslissingslast bij de gebruiker weggenomen, blijft noodzakelijke automatisering beschikbaar en wordt een belangrijk aanvalspad voor malware in de praktijk vrijwel volledig gesloten.

Volwassenheidsniveaus voor macrobeveiliging en configuratie

Niveau 1: Blokkeren van macro’s in documenten uit internetbronnen

Het eerste volwassenheidsniveau richt zich op het afsnijden van de meest voorkomende aanvalsroute: kwaadaardige documenten die via e‑mail of downloads uit het internet binnenkomen. Office gebruikt hiervoor het mechanisme Mark of the Web (MOTW), waarmee bestanden die van buiten de organisatie afkomstig zijn automatisch worden gemarkeerd. Door beleid in te stellen dat macro’s in MOTW-bestanden altijd blokkeert, wordt voorkomen dat een gebruiker – al dan niet per ongeluk – macro’s in een extern document kan inschakelen. Documenten die vanuit interne, gecontroleerde bronnen komen, zoals SharePoint-omgevingen of beheerde netwerkshares, blijven buiten dit blokkademechanisme en kunnen – onder aanvullende voorwaarden – nog wel macro’s uitvoeren.

In de praktijk wordt Niveau 1 gerealiseerd via Group Policy of Intune Administrative Templates, waarbij voor alle relevante Office‑toepassingen (zoals Word, Excel, PowerPoint, Access en Visio) de instelling "Block macros from running in Office files from the Internet" wordt afgedwongen. Een gebruiker die een met macro’s uitgerust document uit een e‑mailbijlage of downloadmap opent, krijgt niet langer de keuze om macro’s te activeren: de uitvoering wordt stilzwijgend geblokkeerd en er verschijnt een korte toelichting dat dit in het kader van beveiliging is gedaan. Dit voorkomt een groot deel van de klassieke macro-aanvallen zonder dat interne werkprocessen worden geraakt.

Deze aanpak heeft duidelijke voordelen. Het overgrote deel van malafide macrodocumenten komt via e‑mail of ongecontroleerde downloads binnen en wordt door dit beleid direct geneutraliseerd. Bestaande interne macro’s in gecontroleerde omgevingen – bijvoorbeeld rekenmodellen in Excel of sjablonen in Word – blijven functioneren zoals voorheen. Voor de meeste gebruikers verandert de dagelijkse werkwijze nauwelijks. Een belangrijke beperking is echter dat dit niveau nog ruimte laat voor omzeiling: gebruikers kunnen bestanden handmatig verplaatsen naar locaties die niet als internetbron worden herkend, waardoor het MOTW‑label verdwijnt. Geavanceerde aanvallers geven in hun instructies soms expliciet aan om een document eerst op een bepaalde locatie op te slaan. Om deze zwakke plek weg te nemen, is een vervolgstap nodig.

Niveau 2: Alleen digitaal ondertekende macro’s toestaan

Op het tweede volwassenheidsniveau verschuift de focus van herkomst naar betrouwbaarheid van de code zelf. Macro’s mogen alleen nog worden uitgevoerd als ze digitaal zijn ondertekend door een vertrouwde uitgever, meestal de eigen organisatie. Alle legitieme, bedrijfskritische macro’s worden voorzien van een code‑signingcertificaat, terwijl niet‑ondertekende macro’s onder alle omstandigheden worden geblokkeerd – ongeacht waar het document zich bevindt.

Technisch wordt Niveau 2 gerealiseerd door het combineren van de instellingen uit Niveau 1 met beleid dat VBA voor Office‑toepassingen uitschakelt voor niet‑ondertekende macro’s. Opties zoals "Disable VBA for Office applications" en het uitschakelen van "Trust access to Visual Basic Project" zorgen ervoor dat macro’s zichzelf niet ongemerkt kunnen aanpassen en dat alleen code van bekende uitgevers wordt uitgevoerd. De organisatie richt een beheerd proces in waarbij ontwikkelaars macro’s bouwen en testen, waarna de goedgekeurde versie wordt ondertekend met het interne certificaat en pas daarna breed wordt uitgerold. Voor eindgebruikers ontstaat zo een helder onderscheid: goedgekeurde macro’s werken zonder extra waarschuwingen, alle andere macro’s worden standaard geweigerd.

Het voordeel van deze aanpak is dat omzeilpogingen via bestandslocaties geen effect meer hebben. Ook wanneer een gebruiker een document opslaat op een persoonlijke map of netwerkshare, blijft de blokkade actief zolang de macro niet is ondertekend. Tegelijkertijd dwingt dit niveau organisaties om inzicht te krijgen in welke macro’s werkelijk nodig zijn en wie daarvoor verantwoordelijk is. De keerzijde is dat er een minimale PKI‑infrastructuur of een extern aangeschaft certificaat nodig is, en dat ontwikkelteams hun werkwijze moeten aanpassen om ondertekening standaard onderdeel te maken van het releaseproces.

Niveau 3: Geavanceerde macrodreigingsbescherming

Het derde volwassenheidsniveau bouwt voort op de eerdere lagen door aanvullende detectie‑ en isolatiemechanismen toe te voegen. Hierbij wordt niet alleen gekeken naar het al dan niet ondertekend zijn van macro’s, maar ook naar het gedrag van Office‑toepassingen. Via Attack Surface Reduction (ASR)‑regels in Microsoft Defender kunnen bijvoorbeeld API‑aanroepen vanuit macro’s, het creëren van uitvoerbare bestanden of het starten van nieuwe processen vanuit Office worden geblokkeerd. Beschermde weergave (Protected View) opent documenten uit risicobronnen standaard in een geïsoleerde modus, waardoor zelfs bij misconfiguratie of onbekende kwetsbaarheden de impact wordt beperkt.

Daarnaast speelt gedragsanalyse een steeds belangrijkere rol. Moderne beveiligingsoplossingen monitoren verdachte activiteiten zoals onverwachte netwerkverbindingen, pogingen tot registerwijzigingen of massale bestandsversleuteling en grijpen automatisch in als een macro zich verdacht gedraagt. Door deze gedragslaag te combineren met de beleidsinstellingen uit Niveau 1 en 2 ontstaat een gelaagde verdediging die ook nieuwe, nog niet gesignaturiseerde macro‑malware kan stoppen. Dit hoogste niveau is met name relevant voor overheidsorganisaties die gevoelige of gerubriceerde gegevens verwerken of structureel het doelwit zijn van geavanceerde dreigingsactoren.

Conclusie

Een doordachte aanpak van macrobeveiliging in Microsoft Office is een van de meest kosteneffectieve maatregelen die een organisatie kan nemen om haar weerbaarheid te vergroten. Door macro’s vanuit niet-vertrouwde bronnen standaard te blokkeren en legitieme macro’s uitsluitend via digitale ondertekening en gecontroleerde locaties toe te staan, wordt een belangrijk aanvallerspad vrijwel volledig afgesloten. Tegelijkertijd blijven noodzakelijke vormen van automatisering behouden, omdat deze onder regie van proceseigenaren en ontwikkelteams worden ingericht en beheerd. De praktijk laat zien dat organisaties die deze strategie consequent doorvoeren, een scherpe daling zien van macro-gebaseerde malware-incidenten, terwijl de zichtbaarheid in het documentlandschap toeneemt. Met een gefaseerde implementatie over circa vier tot zes maanden, gecombineerd met heldere governance en een beperkt structureel beheer, is de investering relatief bescheiden in verhouding tot de vermeden schade, de toegenomen compliance en het herwonnen vertrouwen bij bestuur en gebruikers.

Executive Aanbevelingen
  • Beschouw macrobeveiliging als een snelle maar impactvolle maatregel: met beperkte investering wordt een belangrijk aanvalskanaal gesloten.
  • Voer voordat beleid wordt aangescherpt een grondige inventarisatie uit van macro-afhankelijke processen om verstoringen te voorkomen.
  • Investeer in een goed ingerichte code-signinginfrastructuur zodat kritieke macro’s veilig en gecontroleerd kunnen blijven functioneren.
  • Zorg voor duidelijke en tijdige communicatie richting gebruikers en proceseigenaren, inclusief heldere uitleg over het waarom en het uitzonderingsproces.
  • Monitor actief welke kwaadaardige documenten worden geblokkeerd en rapporteer deze inzichten aan management en toezichthouders om de effectiviteit aan te tonen.
Office Macros Malware Prevention Document Security VBA Security Microsoft Office