Microsoft, Excel elektronik tablo yazılımının dünya çapındaki Microsoft 365 kiracılarında varsayılan olarak güvenilmeyen XLL eklentilerini engellemeye başlayacağını söylüyor.
Şirket bu değişikliği Ocak ayında, Insider üyelerine sunarak ilk test aşamasına girdiğinde Microsoft 365 yol haritasına eklenen yeni bir girişle duyurdu.
Yeni özellik, Mevcut, Aylık Kurumsal ve Altı Aylık Kurumsal kanallardaki tüm masaüstü kullanıcılarına sunulduktan sonra, dünya çapında çok kiracılı sistemlerde genel olarak Mart ayı sonunda kullanıma sunulacaktır.
Microsoft, yeni bir Microsoft 365 mesaj merkezi gönderisinde “XLL eklentilerini çalıştıran Excel Windows masaüstü uygulamaları için varsayılan bir değişiklik getiriyoruz: Güvenilmeyen konumlardan gelen XLL eklentileri artık varsayılan olarak engellenecek.”
“Insiders önizlemesini kullanıma sunmayı çoktan tamamladık. Mart ayı başında kullanıma sunacağız ve Mart ayı sonuna kadar tamamlamayı planlıyoruz.”
İleriye dönük olarak, XLL engellemenin varsayılan olarak etkinleştirileceği kiracılarda, kullanıcılar güvenilmeyen konumlardan gelen içeriği etkinleştirmeye çalıştıklarında bir uyarı görüntülenecek, bu da onları potansiyel risk konusunda bilgilendirecek ve neden gördükleri hakkında daha fazla bilgi bulmalarına olanak tanıyacak. uyarı.
Bu, son yıllarda çeşitli Office belge biçimlerini bir bulaşma vektörü olarak kötüye kullanan kötü amaçlı yazılım kampanyalarındaki artışla mücadele etmeye yönelik daha geniş bir çabanın parçasıdır.
Microsoft, VBA makrolarını kullanan saldırıları engellemek için AMSI desteğini Office 365 uygulamalarına genişlettiği 2018’de saldırı kampanyalarında kullanılan Office bulaşma vektörlerini kaldırmak için çalışmaya başladı.
O zamandan beri Redmond, Excel 4.0 (XLM) makrolarını devre dışı bırakmaya başladı, XLM makro koruması ekledi ve VBA Office makrolarının da artık varsayılan olarak engellendiğini duyurdu.
XLL eklentileri nelerdir?
Excel XLL dosyaları, Microsoft Excel’in işlevselliğini özel işlevler, iletişim kutuları ve araç çubukları gibi ek özelliklerle genişletmek için kullanılan dinamik bağlantı kitaplıklarıdır (DLL’ler).
Ancak saldırganlar, kimlik avı kampanyalarında XLL eklentilerinden de yararlanıyor. Bunları, iş ortakları gibi güvenilir varlıklardan indirme bağlantıları veya ekler kılığında kötü amaçlı yükleri göndermek için kullanırlar.
XLL’ler, varsayılan olarak engellenmeden önce, saldırganların, “eklentilerin virüs veya diğer güvenlik tehlikeleri içerebileceği” konusunda uyarılmış olmalarına rağmen, güvenilmeyen eklentileri etkinleştiren ve onları açan kurbanlara bulaşmasına izin verirdi.
Eklentileri açtıktan sonra kötü amaçlı yazılım, kullanıcı etkileşimi gerektirmeden arka planda yüklendi.
Cisco Talos güvenlik araştırmacılarına göre, XLL’ler hem devlet destekli tehdit grupları hem de finansal olarak motive olan saldırganlar (APT10, FIN7, Donot, TA410) tarafından hedeflerinin sistemlerine birinci aşama yükleri dağıtmak için kullanıldı.
Cisco Talos, “Daha fazla emtia kötü amaçlı yazılım ailesi XLL’leri bulaşma vektörü olarak benimsediğinden, kullanımları son iki yılda önemli ölçüde arttı” dedi.
HP’nin tehdit analisti ekibi ayrıca Ocak 2022’de 2021’in 4. Çeyrek tehdit özetlerinin bir parçası olarak “Excel eklentilerini (.XLL) kullanan saldırganlarda yaklaşık altı kat artış” gördüğünü bildirdi.