Microsoft bude dále bránit malwarovým útokům blokováním doplňků XLL stažených z internetu

Microsoft zavede nové bezpečnostní opatření, které má odradit hackery od šíření malwaru pomocí doplňků XLL. Jak si všiml Bleeping počítačRedmondská společnost začne blokovat XLL doplňky z internetu do března, jakmile bude nová funkce v březnu obecně dostupná.

Z plánu implementace nových opatření podle softwarového giganta vyplynul jeho cíl bojovat s rostoucím počtem malwarových útoků, které jsou v posledních měsících stále častější. Ve svém Plán Microsoft 365, společnost podrobně uvádí, že bude brzy představen uživatelům stolních počítačů po celém světě v rámci měsíčního podnikového kanálu, pololetního podnikového kanálu, obecné dostupnosti, náhledu a aktuálního kanálu.

Nový krok odráží Zpráva HP Wolf Security Threat Insights zveřejněné minulý rok, zdůrazňující „téměř šestinásobný nárůst útočníků používajících doplňky Excelu (.XLL) k infikování systémů.“ Cisco Talos, mezitím řekl, že „v současné době značný počet pokročilých aktérů přetrvávajících hrozeb a rodin komoditního malwaru používá XLL jako vektor infekce a tento počet stále roste.“

XLL je rozšíření pro doplňky aplikace Excel a v podstatě soubor DLL (dynamické knihovny). Je neobvyklé, že se takové soubory používají jako přílohy e-mailů, protože je běžně instalují správci. Nicméně, protože přípona souboru XLL je spojena s ikonou podobnou jiným rozšířením podporovaným aplikací Excel, bezradní jedinci je mohou zaměnit za jiné formáty souborů aplikace Excel. To přinutí takové uživatele, aby je otevřeli. A zatímco Excel zobrazí standardní varování o bezpečnostním problému, jediným kliknutím na tlačítko „povolit“ lze doplněk spustit. Po aktivaci začne doručování malwaru na pozadí, což hackerům umožní spustit na stroji škodlivé kódy.

"...soubory XLL mohou být dobrou volbou pro protivníky, kteří chtějí získat počáteční oporu na počítači oběti," řekl Unit 42 od Palo Alto Networks. "Útočník může získat kód zabalený do knihovny DLL načtené aplikací Excel, což zase může uvést v omyl bezpečnostní produkty, které nejsou připraveny se s tímto scénářem vypořádat."

V současné době je nejlepším způsobem, jak se uživatelé mohou chránit před malwarem dodávaným XLL, odmítnout odkazy ke stažení, přílohy nebo e-maily obsahující soubor. To se doporučuje zejména pro podezřelé e-maily a odkazy od neznámých odesílatelů a webových stránek (včetně falešných), protože špatní herci mohou soubory maskovat, aby vypadaly jako legitimní dokumenty. 

Jakmile budou změny implementovány, uživatelé Microsoft 365 získají lepší ochranu, která bude blokovat doplňky XLL stahované přes internet. To znamená bezpečí před zlými aktéry, kteří se při distribuci malwaru spoléhají na web. A i když se obecná dostupnost připravované funkce může ještě změnit, její příchod bude obrovským zlepšením pro bezpečnost zákazníků Microsoftu.