Laut The Register wird Microsoft im März damit beginnen, Excel-XLL-Add-Ins aus dem Internet zu blockieren, um einen zunehmend beliebten Angriffsvektor für Cyberkriminelle auszuschalten.
In einem kurzen Vermerk auf der Microsoft 365-Roadmap erklärte der Hersteller, dass dieser Schritt eine Reaktion auf „die steigende Anzahl von Malware-Angriffen in den letzten Monaten” sei. Bereits im Juli 2022 hat Microsoft damit begonnen, VBA-Makros (Visual Basic for Application) in Word, Excel und PowerPoint standardmäßig zu blockieren. Seitdem sind Hacker dazu übergegangen, andere Optionen zu nutzen, wie beispielsweise LNK-Dateien und ISO- und RAR-Anhänge. Ebenso rückten Excel-XLL-Dateien in den Fokus von Kriminellen. Sicherheitsforscher haben festgestellt, dass deren Verwendung stark zugenommen hat.
„Aus der Sicht von Cyberkriminellen ist die Microsoft Office-Suite das perfekte Angriffsziel, da sie bei den meisten Computernutzern im Einsatz ist. In den letzten zehn Jahren wurden Makros, die in einige der beliebtesten Editoren wie Excel und Word integriert sind, zu einem der wichtigsten Angriffsvektoren. Häufig drücken Anwender arglos auf die gelbe Leiste mit der Schaltfläche „Makros aktivieren” oder „Inhalt aktivieren”. So kann mit nur einem Klick einen umfassenden Angriff auslöst, der oft mit einer Ransomware-Kompromittierung endet“, erklärt Jake Moore, Global Security Advisor bei ESET.
„Seit Microsoft jedoch beschlossen hat, VBA-Makros im Jahr 2022 standardmäßig aus dem Internet zu verbannen, hat dieser Angriffsweg an Attraktivität verloren und zwingt Angreifer, nach Alternativen zu suchen. Wie in vielen Forschungsberichten und Blogs dokumentiert, wurden XLL-Dateien zu einem der beliebtesten Ersatzprogramme. Doch auch damit wird es bald vorbei sein, da Microsoft auch diesen Vektor abschalten will – eine gute Nachricht für die Benutzer, eine schlechte für die Kriminellen.“
Was sind XLL-Dateien?
XLL-Dateien sind eine Art von DLL-Dateien, die nur in Excel geöffnet werden. Sie ermöglichen es Anwendungen von Drittanbietern, Tabellenkalkulationen um Funktionen zu erweitern. Wenn ein Benutzer in Excel eine Datei mit der Erweiterung .XLL im Windows Explorer öffnen möchte, versucht das System automatisch, Excel zu starten und die Datei zu öffnen. Daraufhin zeigt Excel eine Warnung über möglichen gefährlichen Code an, ähnlich wie beim Öffnen eines Office-Dokuments mit VBA-Makrocode. Und wie bei VBA-Makros ignorieren die Benutzer oft die Warnung.
www.eset.de