Microsoft работает над добавлением защиты надстроек XLL для клиентов Microsoft 365. Способ стандартный – XLL файлы, загружаемые из Интернета, будут автоматически блокироваться. Несмотря на потенциальные неудобства, это поможет справиться с растущим числом вредоносных кампаний, использующих этот способ заражения. Уже в этом марте опцию планируют “развернуть” на большинство действующих пользователей Microsoft 365.
“Для борьбы с растущим числом атак вредоносных программ в последние месяцы мы решили автоматически блокировать надстройки XLL, поступающие из Интернета”, – говорят представители редмондской корпорации.
Надстройки Excel XLL представляют собой библиотеки динамической компоновки (DLL), используемые для расширения функциональных возможностей Microsoft Excel. Злоумышленники используют их в фишинговых кампаниях для распространения различных вредоносных данных. XLL доставляют на компьютер жертвы в виде ссылок для загрузки или вложений, замаскированных под документы от доверенных лиц.
Как только цель откроет неподписанный файл XLL, выскочит предупреждение о “потенциальном содержимом, связанном с безопасностью” и о том, что “надстройки могут содержать вирусы или другие угрозы безопасности”. Надстройку будет предложено включить только для текущего сеанса.
Если проигнорировать предупреждение Office (что и делают в большинстве случаев) и запустить надстройку, она сразу начнёт развертывать полезную нагрузку вредоносного ПО в фоновом режиме.
Поскольку файлы XLL являются исполняемыми, и злоумышленники могут использовать их для запуска вредоносного кода, открывать их стоит только при 100% уверенности, что надстройки получены от надежного источника.
Кроме того, эти файлы обычно не отправляются в виде вложений электронной почты, а устанавливаются администратором Windows. Поэтому, если вы получили электронное письмо или любое другое сообщение, в котором содержатся XLL файлы, скачивать и открывать их точно не следует.
Предупреждение Excel XLL
Больше года назад, в отчете Threat Insights Report Q4 2021 группа аналитиков угроз HP сообщала о “почти шестикратном увеличении числа злоумышленников, использующих надстройки Excel”. Вероятно, число случаев зловредного применения надстроек с того момента выросло ещё больше, раз Microsoft пошла на такие меры.
Как сообщают представители Cisco Talos уже в январском отчете, XLL-файлы в настоящее время используются как злоумышленниками с финансовой мотивацией, так и поддерживаемыми государством группами хакеров (APT10, FIN7, Donot, TA410).
Подобная политика взаимодействия с подозрительными файлов для Microsoft далеко не нова. В июле 2022 года блокировки коснулись макросов Office VBA, а в марте 2021 – макросов XLM. Разумеется, все эти ограничения доставляют конечному пользователю Office немало неудобств, но все действия Microsoft, так или иначе, направлены на безопасность.