Maintenant que Microsoft a de nouveau désactivé les macros VBA étrangères dans Office par défaut et ne les exécute pas, il y a un vecteur d'attaque de moins. Encore et encore, il y avait des compléments Excel dangereux avec l'extension de fichier XLL qui exécutaient des logiciels malveillants après un clic. Maintenant, ce danger est également éteint par Microsoft – mais pas avant mars 2023.
Selon The Register, Microsoft commencera à bloquer les compléments Excel XLL sur le Web en mars dans le but d'arrêter un vecteur d'attaque de plus en plus populaire pour les cybercriminels. Dans une brève note sur la feuille de route de Microsoft 365, le fabricant a expliqué que cette décision répondait "au nombre croissant d'attaques de logiciels malveillants ces derniers mois".
Les fichiers Excel XLL sont également bloqués après le blocage de VBA
Dès juillet 2022, Microsoft a commencé à bloquer par défaut les macros VBA (Visual Basic for Application) dans Word, Excel et PowerPoint. Depuis lors, les pirates se sont tournés vers d'autres options, telles que les fichiers LNK et les pièces jointes ISO et RAR. Les fichiers Excel XLL sont également devenus la cible des criminels. Les chercheurs en sécurité ont remarqué que leur utilisation a fortement augmenté.
"Du point de vue des cybercriminels, la suite Microsoft Office est la cible idéale pour les attaques car elle est utilisée par la plupart des utilisateurs d'ordinateurs. Au cours de la dernière décennie, les macros intégrées à certains des éditeurs les plus populaires, tels qu'Excel et Word, sont devenues l'un des principaux vecteurs d'attaque. Souvent, les utilisateurs appuient innocemment sur la barre jaune avec le bouton "Activer les macros" ou "Activer le contenu". En un seul clic, une attaque à grande échelle peut être lancée, entraînant souvent la compromission d'un ransomware », a déclaré Jake Moore, conseiller en sécurité mondiale chez ESET.
Excel-XXL comme nouvelle avenue d'attaque
« Cependant, depuis que Microsoft a décidé de bannir par défaut les macros VBA d'Internet en 2022, ce vecteur d'attaque a perdu une partie de son attrait, obligeant les attaquants à chercher des alternatives. Comme documenté dans de nombreux rapports de recherche et blogs, les fichiers XLL sont devenus l'un des programmes de remplacement les plus populaires. Mais cela aussi sera bientôt terminé car Microsoft veut également fermer ce vecteur – une bonne nouvelle pour les utilisateurs, une mauvaise nouvelle pour les criminels.
Que sont les fichiers XLL ?
Les fichiers XLL sont un type de fichiers DLL qui ne s'ouvrent que dans Excel. Ils permettent aux applications tierces d'ajouter des fonctionnalités aux feuilles de calcul. Dans Excel, lorsqu'un utilisateur essaie d'ouvrir un fichier avec une extension .XLL dans l'Explorateur Windows, le système essaie automatiquement de démarrer Excel et d'ouvrir le fichier. Excel affiche ensuite un avertissement concernant un éventuel code malveillant, similaire à l'ouverture d'un document Office contenant un code de macro VBA. Et comme les macros VBA, les utilisateurs ignorent souvent l'avertissement.
Plus sur ESET.com
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.