Microsoft zamknął kolejne furtkę dla atakujących, blokując pliki XLL Excela z internetu

Microsoft w marcu zacznie blokować dodatki XLL do Excela z internetu, aby zamknąć coraz popularniejszy wektor ataku dla złoczyńców.

W notatce na swojej mapie drogowej Microsoft 365 powiedział, że ruch ten jest odpowiedzią na „rosnącą liczbę ataków złośliwego oprogramowania w ostatnich miesiącach.”

Badacze bezpieczeństwa powiedzieli, że po tym, jak Microsoft zaczął blokować makra Visual Basic for Application (VBA) domyślnie w Wordzie, Excelu i PowerPoincie w lipcu 2022 roku, aby odciąć popularną ścieżkę ataku, grupy przestępcze zaczęły używać innych opcji, takich jak pliki LNK i załączniki ISO i RAR. W grudniu należąca do Cisco grupa Talos zajmująca się badaniem zagrożeń wyszczególniła kolejne narzędzie, które cyberprzestępcy wzięli na celownik: Pliki XLL programu Excel. Badacze Talos nie tylko rozbili, w jaki sposób oszuści wykorzystują pliki XLL, ale wyszczególnili gwałtowny wzrost ich wykorzystania od czasu, gdy Microsoft zamknął drzwi makr VBA, zauważając, że pierwsze złośliwe próbki zostały przekazane do VirusTotal w 2017 roku.

„Wykorzystanie plików XLL było sporadyczne i nie wzrastało znacząco aż do końca 2021 roku, kiedy zaczęły je wykorzystywać rodziny złośliwego oprogramowania typu commodity, takie jak Dridex i Formbook” – napisał w raporcie Vanja Svajcer, badacz bezpieczeństwa w Talos.

To nie powinno być zaskoczeniem, powiedział Dave Storie, inżynier w LARES Consulting.

„Kiedy organizacje takie jak Microsoft zmniejszają pole ataku lub w inny sposób zwiększają wysiłek wymagany do przeprowadzenia ataku na ich ofertę produktową, zmusza to aktorów zagrożeń do poszukiwania alternatywnych dróg” – powiedział Storie. „To często prowadzi do eksploracji wcześniej znanych, być może mniej idealnych, opcji dla aktorów zagrożeń, aby osiągnąć swoje cele”.

Jeszcze przed tym rokiem niektórzy badacze obserwowali, jak cyberprzestępcy torują sobie drogę do plików XLL. Badacze z HP’s Wolf Security powiedzieli, że w IV kwartale 2021 r. nastąpił 588-procentowy skok rok do roku w przypadku napastników wykorzystujących pliki do kompromitacji systemów, dodając, że spodziewali się, że trend ten utrzyma się w 2022 r., choć w tym czasie nie było jasne, czy dodatki do Excela zastąpią makra Office jako cyberbroń.

Pliki XLL to rodzaj plików DLL, które są otwierane tylko w Excelu i umożliwiają aplikacjom firm trzecich dodawanie większej funkcjonalności do arkuszy kalkulacyjnych. W programie Excel, jeśli użytkownik chce otworzyć plik z rozszerzeniem .XLL w Eksploratorze Windows, system automatycznie spróbuje uruchomić program Excel i otworzyć plik, uruchamiając program Excel, aby wyświetlić ostrzeżenie o możliwym niebezpiecznym kodzie, podobne do tego, które jest wyświetlane po otwarciu dokumentu Office zawierającego kod makra VBA.