Spoločnosť Microsoft ďalej odrádza od útokov škodlivého softvéru blokovaním doplnkov XLL stiahnutých z internetu

Microsoft predstaví nové bezpečnostné opatrenie, ktoré má odradiť hackerov od šírenia malvéru pomocou doplnkov XLL. Ako si všimol Bleeping ComputerSpoločnosť z Redmondu začne blokovať doplnky XLL z internetu do marca, keď bude nová funkcia v marci všeobecne dostupná.

Plán implementácie nových opatrení podľa softvérového giganta vyústil do jeho cieľa bojovať proti rastúcemu počtu malvérových útokov, ktoré sú v posledných mesiacoch čoraz rozšírenejšie. V jeho Plán Microsoft 365, spoločnosť podrobne uvádza, že bude čoskoro predstavený svojim počítačovým používateľom na celom svete v rámci mesačného podnikového kanála, polročného podnikového kanála, všeobecnej dostupnosti, ukážky a aktuálneho kanála.

Nový krok odráža Správa HP Wolf Security Threat Insights publikované minulý rok, zdôrazňujúce „takmer šesťnásobný nárast útočníkov využívajúcich doplnky Excelu (.XLL) na infikovanie systémov.“ Cisco Talos, medzitým povedal, že „v súčasnosti značný počet pokročilých aktérov s pretrvávajúcimi hrozbami a rodiny komoditného malvéru používa XLL ako vektor infekcie a tento počet neustále rastie.“

XLL je rozšírenie pre doplnky Excelu a v podstate súbor DLL (dynamic-link libraries). Nie je bežné, aby sa takéto súbory používali ako prílohy e-mailov, pretože ich bežne inštalujú správcovia. Keďže je však prípona súboru XLL prepojená s ikonou podobnou iným rozšíreniam podporovaným programom Excel, bezradní jednotlivci si ich môžu pomýliť s inými formátmi súborov programu Excel. To prinúti takýchto používateľov, aby ich otvorili. A zatiaľ čo Excel zobrazí štandardné varovanie o bezpečnostných obavách, jediným kliknutím na tlačidlo „povoliť“ môžete doplnok spustiť. Po aktivácii sa doručovanie malvéru spustí na pozadí, čo hackerom umožní spustiť na stroji škodlivé kódy.

„...súbory XLL môžu byť dobrou voľbou pre protivníkov, ktorí sa snažia získať počiatočnú oporu na stroji obete,“ povedal Jednotka 42 od Palo Alto Networks. „Útočník môže získať kód zabalený do knižnice DLL načítanej programom Excel, čo zase môže zavádzať bezpečnostné produkty, ktoré nie sú pripravené riešiť tento scenár.“

V súčasnosti je najlepším spôsobom, ako sa môžu používatelia chrániť pred škodlivým softvérom dodávaným XLL, odmietnutie odkazov na stiahnutie, príloh alebo e-mailov obsahujúcich daný súbor. Odporúča sa to najmä pre podozrivé e-maily a odkazy od neznámych odosielateľov a webových stránok (vrátane falošných), pretože zlí aktéri môžu zamaskovať súbory, aby vyzerali ako legitímne dokumenty. 

Po implementácii zmien získajú používatelia služieb Microsoft 365 lepšiu ochranu, ktorá zablokuje doplnky XLL stiahnuté cez internet. To znamená bezpečnosť pred zlými hráčmi, ktorí sa spoliehajú na web pri distribúcii svojho škodlivého softvéru. A hoci sa všeobecná dostupnosť pripravovanej funkcie môže ešte zmeniť, jej príchod bude obrovským zlepšením pre bezpečnosť zákazníkov Microsoftu.