Por que a Regra ASR que Bloqueia Chamadas de API Win32 de Macros do Office Quebra os Add-Ins
🔍 WiseChecker

Por que a Regra ASR que Bloqueia Chamadas de API Win32 de Macros do Office Quebra os Add-Ins

Ao habilitar a regra ASR “Bloquear chamadas de API Win32 de macros do Office” no Microsoft Defender for Endpoint, você pode descobrir que add-ins legítimos do Office param de funcionar ou não carregam. Isso acontece porque muitos add-ins dependem de chamadas de API Win32 através de macros para realizar tarefas rotineiras, como acessar arquivos, interagir com o sistema operacional ou integrar-se com outros aplicativos. Este artigo explica por que a regra causa falhas nos add-ins, descreve o mecanismo técnico por trás do bloqueio e fornece etapas para identificar e permitir add-ins legítimos sem desabilitar toda a regra de segurança.

Principais Conclusões: Impacto da Regra ASR nos Add-Ins do Office

  • “Bloquear chamadas de API Win32 de macros do Office” GUID da regra: 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B: Impede que macros VBA chamem APIs Win32, o que quebra add-ins que dependem dessas chamadas para acesso a arquivos, operações de registro ou interação com a interface do usuário.
  • Regras de Redução de Superfície de Ataque (ASR) no Microsoft Defender for Endpoint: Um conjunto de políticas de segurança que bloqueiam comportamentos comuns de malware, mas podem inadvertidamente bloquear componentes de software legítimos, como add-ins.
  • Teste de compatibilidade de add-ins via portal Microsoft 365 Defender > Endpoints > Regras ASR: Use o modo de auditoria para registrar chamadas bloqueadas sem aplicar a ação, depois revise os logs para identificar quais add-ins precisam de uma exclusão.

ADVERTISEMENT

Como a Regra ASR Bloqueia Chamadas de API Win32 de Macros do Office

A regra de Redução de Superfície de Ataque “Bloquear chamadas de API Win32 de macros do Office” foi projetada para impedir que macros maliciosas usem funções da API do Windows para executar código, baixar payloads ou modificar configurações do sistema. Quando habilitada, a regra intercepta qualquer tentativa de uma macro VBA de chamar uma função da API Win32, como CreateProcess, WriteFile ou RegSetValue. A regra então encerra a execução da macro e registra o evento no Microsoft 365 Defender.

Esta regra usa um identificador GUID: 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B. Ela se aplica a todos os aplicativos do Office que suportam macros VBA, incluindo Excel, Word, PowerPoint e Outlook. A regra não diferencia entre uma macro maliciosa e uma macro legítima incorporada em um add-in assinado. Ela bloqueia a chamada de API independentemente da origem da macro ou da assinatura digital.

Por que Add-Ins Legítimos Dependem de Chamadas de API Win32

Muitos add-ins de terceiros para Office, incluindo os de fornecedores respeitáveis, usam macros VBA para chamar funções da API Win32 para funcionalidades essenciais. Por exemplo, um add-in que se integra a um sistema CRM pode chamar InternetOpenUrl para buscar dados. Um add-in de gerenciamento de documentos pode usar CreateFile para salvar arquivos em um compartilhamento de rede. Um add-in de conformidade pode chamar RegQueryValueEx para ler configurações do registro. Quando a regra ASR bloqueia essas chamadas, o add-in não consegue concluir sua operação e pode exibir um erro, travar ou não carregar completamente.

Etapas para Identificar Quais Add-Ins São Afetados pela Regra ASR

Antes de fazer alterações na configuração da regra ASR, você precisa determinar quais add-ins estão sendo bloqueados. Use as seguintes etapas para coletar essas informações.

  1. Habilite o modo de auditoria para a regra
    No portal Microsoft 365 Defender, vá para Endpoints > Regras de redução de superfície de ataque. Localize a regra “Bloquear chamadas de API Win32 de macros do Office” e defina-a para o modo Auditoria. Isso registra as chamadas bloqueadas sem realmente impedi-las, permitindo que os add-ins funcionem normalmente enquanto você coleta dados.
  2. Revise os logs de auditoria
    Após 24–48 horas de uso normal do negócio, vá para Microsoft 365 Defender > Hunting > Advanced hunting. Execute a seguinte consulta KQL:
    DeviceEvents | where ActionType == "AsrWin32ApiCallsFromOfficeMacroAudited" | project Timestamp, DeviceName, FileName, ProcessName, RemoteUrl, InitiatingProcessFileName
    Esta consulta retorna todos os eventos onde a regra teria bloqueado uma chamada.
  3. Identifique o add-in ou a origem da macro
    Nos resultados da consulta, examine as colunas ProcessName e FileName. O ProcessName mostra o aplicativo do Office (por exemplo, EXCEL.EXE). O FileName mostra o arquivo de macro ou DLL do add-in que tentou a chamada de API. Cruze essas informações com sua lista de add-ins instalados.
  4. Teste cada add-in individualmente
    Para cada add-in identificado, desabilite todos os outros add-ins e teste a funcionalidade afetada. Se o add-in funcionar corretamente no modo de auditoria, mas falhar quando a regra estiver configurada para Bloquear, você confirmou a causa.

ADVERTISEMENT

Como Permitir Add-Ins Legítimos Sem Desabilitar a Regra

Depois de identificar quais add-ins estão bloqueados, você tem duas opções: criar uma exclusão para o arquivo específico do add-in ou usar um indicador personalizado para permitir o editor do add-in.

Opção 1: Adicionar uma Exclusão de Arquivo para o Add-In

  1. Obtenha o caminho exato do arquivo
    A partir do log de auditoria, anote o caminho completo do arquivo do add-in, como C:\Program Files\Vendor\Addin.dll ou %AppData%\Microsoft\AddIns\Addin.xlam.
  2. Crie uma exclusão na regra ASR
    No portal Microsoft 365 Defender, vá para Endpoints > Regras de redução de superfície de ataque. Edite a regra “Bloquear chamadas de API Win32 de macros do Office”. Em Exclusões, adicione o caminho do arquivo. Você pode usar variáveis de ambiente e curingas, por exemplo: C:\Program Files\Vendor\.
  3. Aplique a alteração e teste
    Defina a regra de volta para o modo Bloquear. Teste o add-in para confirmar que agora ele funciona corretamente. Verifique os logs de auditoria novamente para garantir que não apareçam novos bloqueios para esse caminho de arquivo.

Opção 2: Usar um Indicador Personalizado para o Editor

  1. Obtenha os detalhes do certificado
    Clique com o botão direito no arquivo DLL ou macro do add-in, selecione Propriedades > Assinaturas Digitais e anote o nome do editor e a impressão digital do certificado.
  2. Crie um indicador de permissão
    No portal Microsoft 365 Defender, vá para Configurações > Endpoints > Indicadores. Adicione um novo indicador do tipo Certificado. Cole a impressão digital e defina a ação como Permitir.
  3. Verifique se o indicador foi aplicado
    Teste o add-in. A regra ASR ignorará o bloqueio para qualquer macro assinada por esse certificado. Este método é mais seguro do que excluir um caminho de pasta, pois depende da identidade do editor.

Se os Add-Ins Ainda Falharem Após Configurar Exclusões

Add-In Não Carrega Mesmo Após Adicionar uma Exclusão de Arquivo

A exclusão pode não cobrir todas as chamadas de API se o add-in usar vários arquivos de macro ou carregar código dinamicamente de um local diferente. Verifique os logs de auditoria novamente em busca de novos eventos onde o FileName difere do caminho excluído. Adicione exclusões adicionais para esses arquivos. Verifique também se o caminho da exclusão usa a sintaxe correta. Por exemplo, use %ProgramFiles%\Vendor\ em vez de uma letra de unidade fixa se o add-in estiver instalado em várias máquinas.

Regra ASR Ainda Bloqueia Macros em Add-Ins Assinados

O indicador de certificado pode não funcionar se o add-in for assinado com um carimbo de data/hora expirado ou se a cadeia de certificados não puder ser verificada. Certifique-se de que o certificado raiz seja confiável no dispositivo. Se o add-in for autoassinado ou usar uma CA interna, talvez seja necessário implantar o certificado raiz via Política de Grupo ou Intune. Como alternativa, você pode adicionar uma exclusão de arquivo para o arquivo específico do add-in em vez de depender do indicador de certificado.

Vários Add-Ins de Diferentes Fornecedores Estão Bloqueados

Se muitos add-ins forem afetados, considere usar uma Política de Grupo ou Microsoft Intune para implantar a regra ASR em modo de auditoria primeiro em um grupo de teste. Avalie cada add-in e crie exclusões conforme necessário. Após os testes, alterne a regra para o modo Bloquear no grupo de produção. Essa abordagem em fases evita interrupções generalizadas enquanto mantém a segurança.

Item Exclusão de Arquivo Indicador de Certificado
Escopo Permite um arquivo ou caminho de pasta específico Permite todos os arquivos assinados por um editor específico
Complexidade de configuração Baixa — requer apenas o caminho do arquivo Média — requer impressão digital do certificado e cadeia de confiança
Risco de segurança Maior — qualquer arquivo na pasta excluída ignora a regra Menor — apenas arquivos assinados pelo editor confiável são permitidos
Manutenção Atualizar caminho se o add-in for movido ou atualizado Atualizar indicador se o editor renovar o certificado
Melhor para Add-in único de fonte interna ou não confiável Vários add-ins de um fornecedor conhecido

A regra ASR “Bloquear chamadas de API Win32 de macros do Office” é um recurso de segurança poderoso que impede que malware baseado em macro execute comandos em nível de sistema. No entanto, ela pode quebrar add-ins legítimos que dependem de chamadas de API Win32 para operações rotineiras. Usando o modo de auditoria para identificar os add-ins bloqueados e, em seguida, criando exclusões direcionadas ou indicadores de permissão de certificado, você pode restaurar a funcionalidade dos add-ins sem enfraquecer sua postura geral de segurança. Para gerenciamento contínuo, revise periodicamente os logs de auditoria para detectar novos add-ins que possam ser afetados após atualizações ou novas instalações.

ADVERTISEMENT