Nachdem Microsoft in Office wieder standardmäßig fremde VBA-Makros deaktiviert und nicht ausführt, gibt es einen Angriffsvektor weniger. Immer wieder gab es gefährliche Excel-Add-ins mit der Dateiendung XLL die nach einem Klick Malware ausgeführt haben. Nun wird auch diese Gefahr von Microsoft stillgelegt – aber erst im März 2023.
Laut The Register wird Microsoft im März damit beginnen, Excel-XLL-Add-Ins aus dem Internet zu blockieren, um einen zunehmend beliebten Angriffsvektor für Cyberkriminelle auszuschalten. In einem kurzen Vermerk auf der Microsoft 365-Roadmap erklärte der Hersteller, dass dieser Schritt eine Reaktion auf „die steigende Anzahl von Malware-Angriffen in den letzten Monaten“ sei.
Nach VBA-Blockade auch Excel-XLL-Dateien gesperrt
Bereits im Juli 2022 hat Microsoft damit begonnen, VBA-Makros (Visual Basic for Application) in Word, Excel und PowerPoint standardmäßig zu blockieren. Seitdem sind Hacker dazu übergegangen, andere Optionen zu nutzen, wie beispielsweise LNK-Dateien und ISO- und RAR-Anhänge. Ebenso rückten Excel-XLL-Dateien in den Fokus von Kriminellen. Sicherheitsforscher haben festgestellt, dass deren Verwendung stark zugenommen hat.
„Aus der Sicht von Cyberkriminellen ist die Microsoft Office-Suite das perfekte Angriffsziel, da sie bei den meisten Computernutzern im Einsatz ist. In den letzten zehn Jahren wurden Makros, die in einige der beliebtesten Editoren wie Excel und Word integriert sind, zu einem der wichtigsten Angriffsvektoren. Häufig drücken Anwender arglos auf die gelbe Leiste mit der Schaltfläche „Makros aktivieren“ oder „Inhalt aktivieren“. So kann mit nur einem Klick einen umfassenden Angriff auslöst, der oft mit einer Ransomware-Kompromittierung endet“, erklärt Jake Moore, Global Security Advisor bei ESET.
Excel-XXL als neuer Angriffsweg
„Seit Microsoft jedoch beschlossen hat, VBA-Makros im Jahr 2022 standardmäßig aus dem Internet zu verbannen, hat dieser Angriffsweg an Attraktivität verloren und zwingt Angreifer, nach Alternativen zu suchen. Wie in vielen Forschungsberichten und Blogs dokumentiert, wurden XLL-Dateien zu einem der beliebtesten Ersatzprogramme. Doch auch damit wird es bald vorbei sein, da Microsoft auch diesen Vektor abschalten will – eine gute Nachricht für die Benutzer, eine schlechte für die Kriminellen.“
Was sind XLL-Dateien?
XLL-Dateien sind eine Art von DLL-Dateien, die nur in Excel geöffnet werden. Sie ermöglichen es Anwendungen von Drittanbietern, Tabellenkalkulationen um Funktionen zu erweitern. Wenn ein Benutzer in Excel eine Datei mit der Erweiterung .XLL im Windows Explorer öffnen möchte, versucht das System automatisch, Excel zu starten und die Datei zu öffnen. Daraufhin zeigt Excel eine Warnung über möglichen gefährlichen Code an, ähnlich wie beim Öffnen eines Office-Dokuments mit VBA-Makrocode. Und wie bei VBA-Makros ignorieren die Benutzer oft die Warnung.
Mehr bei ESET.com
Über ESET ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.