Microsoft wil aanvallers ervan weerhouden verschillende Office-documentformaten te misbruiken als infectievector. Het bedrijf heeft aangekondigd dat Excel niet-vertrouwde XLL-add-ins standaard zal blokkeren in Microsoft 365 tenants wereldwijd.
Excel XLL-bestanden zijn dynamic-link libraries (DLL’s) die de functionaliteit van Microsoft Excel uitbreiden met extra functies zoals aangepaste functies, dialoogvensters en werkbalken. Aanvallers hebben echter ook XLL-add-ins gebruikt in phishing-campagnes om kwaadaardige payloads te pushen, vermomd als downloadlinks of bijlagen van vertrouwde entiteiten, zoals zakelijke partners.
Vóór deze wijziging konden aanvallers met XLL’s slachtoffers infecteren die de niet-vertrouwde invoegtoepassingen inschakelden en openden, ook al werden ze gewaarschuwd dat de “invoegtoepassingen virussen of andere beveiligingsrisico’s” konden bevatten. Het openen van de invoegtoepassingen zou de malware op de achtergrond installeren zonder interactie van de gebruiker.
Onderdeel van een grotere inspanning
Deze wijziging maakt deel uit van Microsofts bredere inspanning om Office-infectievectoren die in aanvalscampagnes worden gebruikt, te verwijderen. Microsoft begon in 2018 te werken aan het verwijderen van deze vectoren.
Sindsdien heeft Microsoft Excel 4.0 (XLM) macro’s uitgeschakeld, XLM macrobescherming toegevoegd en aangekondigd dat VBA Office macro’s nu ook standaard worden geblokkeerd.
In tenants waar de XLL-blokkering standaard is ingeschakeld, wordt een waarschuwing weergegeven wanneer gebruikers inhoud van niet-vertrouwde locaties proberen in te schakelen. Met deze waarschuwing worden gebruikers geïnformeerd over het potentiële risico en kunnen zij meer informatie vinden over waarom zij de waarschuwing zien.
Populariteit neemt toe
Hackers en door de staat gesponsorde groepen doen hier aan mee. Beveiligingsonderzoekers van Cisco Talos hebben de afgelopen twee jaar een aanzienlijke toename gemeld van het gebruik van XLL’s als infectievector.
Staat gesponsorde groepen en financieel gemotiveerde aanvallers zoals APT10, FIN7, Donot en TA410 hebben XLL’s gebruikt om payloads van het eerste stadium in te zetten op de systemen van hun doelwitten. HP’s team threat analysts zag in januari 2022 ook een “bijna zesvoudige toename van aanvallers die Excel-add-ins (.XLL) gebruiken” als onderdeel van hun Q4 2021 threat recap.
Deze verandering werd in januari aangekondigd en zal eind maart algemeen beschikbaar zijn in multi-tenants wereldwijd na uitrol naar alle desktopgebruikers.
Lees ook: Emotet-malware maakt een comeback
8 uur geleden
