Microsoft se despide de VBScript: el lenguaje de programación obsoleto ya no es seguro

Microsoft planea abandonar gradualmente el uso del lenguaje de scripting VBScript (Visual Basic Script) en el sistema operativo Windows. Este proceso se desarrollará en tres etapas, comenzando en la segunda mitad de 2024.

En la primera etapa, en la próxima versión de Windows 11 24H2, cuyo lanzamiento está previsto para finales de este año, el soporte para VBScript se trasladará a la categoría de componentes adicionales (Feature on Demand, FOD). Estos componentes opcionales, como .NET Framework, Hyper-V, Subsistema de Windows para Linux, no se instalan por defecto, pero pueden agregarse si el usuario lo desea.

"Con el tiempo, han surgido lenguajes de programación más modernos y funcionales, como JavaScript y PowerShell, que son más adecuados para el desarrollo de aplicaciones web y la automatización de tareas", explicó Naveen Shankar, gerente del programa de Microsoft.

En la segunda etapa, aproximadamente en 2027, VBScript todavía estará listado en los componentes adicionales, pero ya no se preinstalará en Windows.

Finalmente, en la tercera y última etapa de la retirada, VBScript desaparecerá por completo de las futuras compilaciones de Windows. Todas las bibliotecas dinámicas (.dll) asociadas se eliminarán por completo, y los proyectos que utilizan este lenguaje dejarán de funcionar.

El lenguaje VBScript, que apareció hace 30 años junto con el navegador Internet Explorer, estaba destinado a la automatización de tareas y el control de aplicaciones a través del intérprete de comandos de Windows. Sin embargo, con el tiempo, los ciberdelincuentes comenzaron a utilizarlo activamente como una herramienta para distribuir malware, como los virus Lokibot, Emotet, Qbot y el recientemente descubierto DarkGate.

El abandono de VBScript forma parte de una estrategia más amplia de Microsoft para deshacerse de los componentes de Windows y Office que pueden servir como vectores de ataque y facilitar la infección de los sistemas de los usuarios con malware. Anteriormente, la compañía ya había desactivado VBScript de forma predeterminada en Internet Explorer 11 para Windows 10, prohibido el uso de macros Excel 4.0 (XLM), exigido el bloqueo obligatorio de macros VBA en el paquete de oficina, implementado protección contra macros XLM y comenzado a bloquear complementos XLL no deseados para los clientes de Microsoft 365 en todo el mundo.

Estas medidas se remontan a 2018, cuando Microsoft amplió el soporte de su propia interfaz de escaneo antivirus (AMSI) a las aplicaciones cliente de Office 365, limitando así los ataques que utilizan macros VBA de Office.