Microsoft will Malware-Angriffe weiter abwehren, indem aus dem Internet heruntergeladene XLL-Add-Ins blockiert werden

Microsoft wird eine neue Sicherheitsmaßnahme einführen, um Hacker davon abzuhalten, Malware mithilfe von XLL-Add-Ins zu verbreiten. Wie entdeckt von Piepender Computer, wird das Redmonder Unternehmen ab März damit beginnen, XLL-Add-Ins aus dem Internet zu blockieren, sobald die neue Funktion im März allgemein verfügbar ist.

Aus dem Plan zur Umsetzung der neuen Maßnahmen resultierte laut dem Softwareriesen das Ziel, die wachsende Zahl von Malware-Angriffen zu bekämpfen, die in den letzten Monaten immer häufiger wurden. In seinem Microsoft 365-Roadmap, gibt das Unternehmen bekannt, dass es bald weltweiten Desktop-Benutzern seines Excel-Produkts im monatlichen Enterprise-Kanal, im halbjährlichen Enterprise-Kanal, in der allgemeinen Verfügbarkeit, in der Vorschau und im aktuellen Kanal vorgestellt wird.

Der neue Umzug spiegelt die HP Wolf Security Threat Insights-Bericht veröffentlicht im vergangenen Jahr, in dem „eine fast sechsfache Zunahme von Angreifern hervorgehoben wird, die Excel-Add-Ins (.XLL) verwenden, um Systeme zu infizieren“. Cisco Talos, sagte unterdessen, dass „derzeit eine beträchtliche Anzahl von fortgeschrittenen Akteuren hartnäckiger Bedrohungen und Commodity-Malware-Familien XLLs als Infektionsvektor verwenden und diese Zahl weiter wächst.“

XLL ist eine Erweiterung für Excel-Add-Ins und im Grunde eine DLL-Datei (Dynamic Link Libraries). Es ist ungewöhnlich, dass solche Dateien als E-Mail-Anhänge verwendet werden, da sie normalerweise von Administratoren installiert werden. Da die XLL-Dateierweiterung jedoch mit einem ähnlichen Symbol wie andere von Excel unterstützte Erweiterungen verknüpft ist, könnten ahnungslose Personen sie mit anderen Excel-Dateiformaten verwechseln. Dies wird solche Benutzer dazu bringen, sie zu öffnen. Und während Excel eine Standardwarnung über das Sicherheitsproblem anzeigt, kann das Add-In mit einem einzigen Klick auf die Schaltfläche „Aktivieren“ ausgeführt werden. Nach der Aktivierung beginnt die Malware-Bereitstellung im Hintergrund, sodass die Hacker schädliche Codes auf dem Computer ausführen können.

„… XLL-Dateien können eine gute Wahl für Angreifer sein, die versuchen, auf einem Opfercomputer Fuß zu fassen“, sagte er Einheit 42 von Palo Alto Networks. „Ein Angreifer kann Code in eine von Excel geladene DLL gepackt bekommen, was wiederum Sicherheitsprodukte irreführen kann, die auf dieses Szenario nicht vorbereitet sind.“

Derzeit können sich Benutzer am besten vor Malware schützen, die von XLL geliefert wird, indem sie Download-Links, Anhänge oder E-Mails, die die Datei enthalten, ablehnen. Dies wird besonders für verdächtige E-Mails und Links von unbekannten Absendern und Websites (einschließlich gefälschter) empfohlen, da Angreifer die Dateien tarnen können, um sie als legitime Dokumente erscheinen zu lassen. 

Sobald die Änderungen implementiert sind, erhalten Microsoft 365-Benutzer einen besseren Schutz, der über das Internet heruntergeladene XLL-Add-Ins blockiert. Dies bedeutet Sicherheit vor böswilligen Akteuren, die sich auf das Internet verlassen, um ihre Malware zu verbreiten. Und obwohl sich die allgemeine Verfügbarkeit der kommenden Funktion noch ändern kann, wird ihre Einführung eine enorme Verbesserung für die Sicherheit von Microsoft-Kunden darstellen.