Microsoft va bloca descărcarea de add-in-uri pentru fișierele Excel XLL
0Conform publicației de știri online din domeniul tehnologiei business The Register, în martie, Microsoft va începe să blocheze add-in-urile online Excel XLL pentru a anihila un vector de atac din ce în ce mai popular pentru răufăcători.
Într-un comunicat oficial legat de suita Microsoft 365, furnizorul a spus că blocarea a survenit ca răspuns la „numărul tot mai mare de atacuri malware din ultimele luni.
Cercetătorii de securitate au declarat că, după ce Microsoft a început să blocheze macrocomenzile Visual Basic pentru aplicații (VBA) implicite pentru Word, Excel și PowerPoint, în iulie 2022, pentru a întrerupe o cale populară de atac, grupurile de amenințări au început să utilizeze alte opțiuni, cum ar fi fișierele LNK și atașamentele ISO și RAR. În decembrie 2022, grupul Talos de Threat Intelligence din cadrul Cisco a detectat și a arătat un alt instrument pe care infractorii cibernetici îl vizau: fișierele Excel XLL. De când Microsoft a blocat vulnerabilitatea macrocomenzilor VBA, cercetătorii Talos au analizat modul în care escrocii folosesc fișierele XLL, descoperind o creștere bruscă a utilizării acestora.
Fișierele XLL sunt un tip de fișiere DLL care pot fi deschise numai în Excel și care permit aplicațiilor terță parte să adauge mai multe funcționalități foilor de calcul. În Excel, dacă un utilizator dorește să deschidă un fișier cu o extensie .XLL în Windows Explorer, sistemul va încerca automat să lanseze Excel și să deschidă fișierul, declanșând o notificare din partea Excel cu un mesaj de avertizare despre un posibil cod periculos, similar cu cel afișat atunci când un documentul Office care conține cod macro VBA este deschis. În general, ca și în cazul macrocomenzilor VBA, utilizatorii vor ignora adesea avertismentul. „Fișierele XLL pot fi trimise prin e-mail și, chiar și cu măsurile implicite de scanare anti-malware, utilizatorii pot să le deschidă fără să știe că pot conține cod rău intenționat”, a scris Svajcer, cercetător pentru Talos."
Jake Moore, Global Cyber Security Advisor al ESET explică de ce a luat Microsoft această decizie: ”În mintea unui criminal cibernetic, suita Microsoft Office este ținta perfectă pentru atac, deoarece este plasată în centrul majorității activităților utilizatorilor de computere. În ultimul deceniu, macrocomenzile încorporate în unele dintre cele mai populare software-uri de editare, cum ar fi Excel și Word, au devenit unul dintre principalii vectori de atac folosiți de infractorii cibernetici. Această funcție, cunoscută de utilizatori sub numele de bara galbenă cu butonul „Activați macrocomenzi” sau „Activați conținut”, este vulnerabilă, fiind suficient un singur click pentru a lansa un atac la scară completă, care se termină adesea cu cerințe de ransomware.
Cu toate acestea, de când Microsoft a decis să dezactiveze macrocomenzile VBA de pe internet în mod implicit în 2022, această cale de atac și-a pierdut atractivitatea și a forțat atacatorii să caute alte alternative. Așa cum au fost deja nominalizate în diverse lucrări de cercetare și bloguri, fișierele XLL au devenit unul dintre înlocuitorii favorizați. Dacă Microsoft se angajează să reducă și acest vector, amenințările legate de acestea se vor încheia în curând - o veste bună pentru utilizatori, o veste proastă pentru criminali.”