Microsoft gaat malware-aanvallen verder afschrikken door via internet gedownloade XLL-add-ins te blokkeren

Microsoft introduceert een nieuwe beveiligingsmaatregel om hackers ervan te weerhouden malware te verspreiden met behulp van XLL-add-ins. Zoals opgemerkt door De computer laten leeglopen, zal het bedrijf uit Redmond in maart beginnen met het blokkeren van XLL-add-ins van het internet zodra de nieuwe mogelijkheid in maart algemeen beschikbaar komt.

Volgens de softwaregigant resulteerde het plan om de nieuwe maatregelen te implementeren in zijn doel om het groeiende aantal malware-aanvallen, die de afgelopen maanden steeds vaker voorkomen, te bestrijden. In zijn Microsoft 365-stappenplan, geeft het bedrijf aan dat het binnenkort zal worden geïntroduceerd bij wereldwijde desktopgebruikers van zijn Excel-product in Monthly Enterprise Channel, Semi-Annual Enterprise Channel, General Availability, Preview en Current Channel.

De nieuwe zet weerspiegelt de HP Wolf Security Threat Insights-rapport vorig jaar gepubliceerd, met de nadruk op "een bijna verzesvoudigde toename van aanvallers die Excel-add-ins (.XLL) gebruiken om systemen te infecteren." Cisco Talos, zei ondertussen dat "momenteel een aanzienlijk aantal geavanceerde persistente dreigingsactoren en commodity-malwarefamilies XLL's gebruiken als infectievector en dit aantal blijft groeien."

XLL is een extensie voor Excel-invoegtoepassingen en in feite een DLL-bestand (dynamic-link libraries). Het is ongebruikelijk dat dergelijke bestanden als e-mailbijlagen worden gebruikt, aangezien ze gewoonlijk door beheerders worden geïnstalleerd. Desalniettemin, aangezien de XLL-bestandsextensie is gekoppeld aan een pictogram dat lijkt op andere door Excel ondersteunde extensies, kunnen onwetende personen ze verwarren met andere Excel-bestandsindelingen. Dit zal dergelijke gebruikers ertoe aanzetten om ze te openen. En hoewel Excel een standaardwaarschuwing geeft over het beveiligingsprobleem, kan een enkele klik op de knop "inschakelen" de invoegtoepassing uitvoeren. Eenmaal geactiveerd, begint de levering van malware op de achtergrond, waardoor de hackers kwaadaardige codes op de machine kunnen uitvoeren.

"...XLL-bestanden kunnen een goede keuze zijn voor tegenstanders die een eerste voet aan de grond willen krijgen op een slachtoffermachine", aldus Eenheid 42 door Palo Alto Networks. "Een aanvaller kan code verpakt krijgen in een DLL die door Excel wordt geladen, wat op zijn beurt beveiligingsproducten kan misleiden die niet voorbereid zijn op dit scenario."

Momenteel is de ultieme manier waarop gebruikers zichzelf kunnen beschermen tegen malware die door XLL wordt geleverd, het weigeren van downloadlinks, bijlagen of e-mails die het bestand bevatten. Dit wordt met name aangeraden voor verdachte e-mails en links van onbekende afzenders en websites (inclusief valse), omdat kwaadwillenden de bestanden kunnen vermommen om ze op legitieme documenten te laten lijken. 

Zodra de wijzigingen zijn doorgevoerd, krijgen Microsoft 365-gebruikers betere bescherming die XLL-invoegtoepassingen die via internet zijn gedownload, blokkeert. Dit betekent bescherming tegen kwaadwillenden die afhankelijk zijn van internet om hun malware te verspreiden. En hoewel de algemene beschikbaarheid van de aankomende mogelijkheid nog kan veranderen, zal de komst ervan een enorme verbetering zijn voor de beveiliging van Microsoft-klanten.