I macro possono fare tutto ciò che il contesto dell'utente del programma stesso può fare. Sono programmi eseguibili. Ad esempio, potrebbero contenere un eseguibile nativo, che viene rilasciato sul filesystem e quindi eseguito. Se l'utente esegue il programma (ad esempio Word) come amministratore, il carico utile della macro ora ha il controllo completo sul sistema.
In generale dovresti evitare macro come la peste. Sono difficili da controllare correttamente, dal momento che i callback degli eventi possono essere utilizzati per nascondere il codice dappertutto. I documenti non attendibili dovrebbero essere aperti in un ambiente sandboxed (ad esempio tramite Sandboxie o in una VM) e l'applicazione office deve essere configurata per bloccare le macro per impostazione predefinita, interamente o con un prompt da consentire una sola volta.
Poiché le vulnerabilità delle applicazioni di documenti comuni (ad esempio Adobe Reader, Microsoft Office, ecc.) sono ampiamente mirate, può essere utile utilizzare alternative (ad esempio FoxIt o LibreOffice) che non sono così comuni. Questa è una sicurezza attraverso il metodo dell'oscurità, ma qui ha un caso d'uso tangibile. Raccomando vivamente di installare Microsoft EMET e configurarlo per qualsiasi applicazione che acceda comunemente a dati non fidati, inclusi browser Web e programmi per ufficio. Ciò di solito impedisce che una parte enorme degli exploit funzioni correttamente, a condizione che non siano stati scritti esplicitamente per il targeting dei sistemi protetti da EMET.