Microsoft för att ytterligare avskräcka attacker från skadlig programvara genom att blockera internetnedladdade XLL-tillägg

Microsoft kommer att införa en ny säkerhetsåtgärd för att avskräcka hackare från att distribuera skadlig programvara med XLL-tillägg. Som upptäckt av Bleeping Computer, kommer Redmond-företaget att börja blockera XLL-tillägg från internet i mars när den nya funktionen blir allmänt tillgänglig i mars.

Enligt mjukvarujätten resulterade planen att implementera de nya åtgärderna i dess mål att bekämpa det växande antalet skadliga attacker, som har blivit allt vanligare de senaste månaderna. I dess Färdplan för Microsoft 365, berättar företaget att det snart kommer att introduceras för datoranvändare över hela världen av sin Excel-produkt i Monthly Enterprise Channel, Semi-Annual Enterprise Channel, General Availability, Preview och Current Channel.

Det nya draget speglar HP Wolf Security Threat Insights-rapport publicerades förra året och lyfte fram "en nästan sexfaldig ökning av angripare som använder Excel-tillägg (.XLL) för att infektera system." Cisco Talos, under tiden, sa att "för närvarande använder ett betydande antal avancerade ihållande hotaktörer och familjer med skadlig programvara XLLs som en infektionsvektor och detta antal fortsätter att växa."

XLL är ett tillägg för Excel-tillägg och i princip en DLL-fil (dynamiska länkbibliotek). Det är ovanligt att sådana filer används som e-postbilagor eftersom de vanligtvis installeras av administratörer. Ändå, eftersom XLL-filtillägget är länkat med en ikon som liknar andra Excel-stödda tillägg, kan aningslösa individer missta dem för andra Excel-filformat. Detta kommer att pressa sådana användare att öppna dem. Och medan Excel kommer att visa en standardvarning om säkerhetsproblemet, kan ett enda klick på "aktivera"-knappen exekvera tillägget. När den har aktiverats startar leveransen av skadlig programvara i bakgrunden, vilket gör att hackarna kan köra skadliga koder på maskinen.

"...XLL-filer kan vara ett bra val för motståndare som vill få ett första fotfäste på en offermaskin," sa Unit 42 från Palo Alto Networks. "En angripare kan få kod paketerad i en DLL som laddas av Excel, vilket i sin tur kan vilseleda säkerhetsprodukter som inte är beredda att hantera detta scenario."

För närvarande är det ultimata sättet som användare kan göra för att skydda sig mot skadlig programvara som levereras av XLL genom att stänga av nedladdningslänkar, bilagor eller e-postmeddelanden som innehåller filen. Detta föreslås särskilt för misstänkta e-postmeddelanden och länkar från okända avsändare och webbplatser (inklusive falska sådana), eftersom dåliga aktörer kan dölja filerna för att få dem att se ut som legitima dokument. 

När ändringarna har implementerats kommer Microsoft 365-användare att få ett bättre skydd som blockerar XLL-tillägg som laddas ner via internet. Detta innebär säkerhet från dåliga aktörer som förlitar sig på webben för att distribuera sin skadliga programvara. Och även om den allmänna tillgängligheten för den kommande kapaciteten fortfarande kan förändras, kommer dess ankomst att vara en enorm förbättring för säkerheten för Microsoft-kunder.