Microsoft, Office Excel’e siber saldırganların elektronik tablo uygulamasının “eklentiler” işlevinden yararlanarak kurbanın bilgisayarında kötü amaçlı kod çalıştırmasını zorlaştıracak bir özellik eklemeyi planlıyor.
Araştırmacılar, memnuniyet verici bir gelişme olmakla birlikte, Microsoft’un karşı önleminin, büyük yazılım üreticileri ile siber saldırganlar arasındaki kedi-fare oyunundaki en son gidişat olduğunu söylüyor.
Microsoft, XLL’leri Hedefliyor
Geçen hafta Microsoft 365 yol haritasına yapılan bir güncellemede şirket, şu anda “XLL’yi engellemek için önlemler uyguladığını” belirtti. [add-in files] İnternetten geliyor”, özelliğin Mart ayında bir ara genel kullanıma sunulması hedefiyle.
Excel eklenti dosyaları, XLL dosya uzantısıyla belirlenir. Microsoft Excel’de yazılımın doğal olarak parçası olmayan üçüncü taraf araçlarını ve işlevlerini kullanmanın bir yolunu sağlarlar; dinamik bağlantı kitaplıklarına (DLL’ler) benzerler, ancak Excel elektronik tabloları için belirli özelliklere sahiptirler. Cisco’nun Talos grubundan bir araştırmacı olan Vanja Svajcer, Aralık ayında yaptığı bir analizde, siber saldırganlar için elektronik tablolarda veri okuma ve yazma, özel işlevler ekleme ve platformlar arasında Excel nesneleriyle etkileşim kurma yolu sunduğunu söyledi.
Saldırganlar, XLL’leri 2017’de denemeye başladı ve tekniğin Dridex gibi yaygın kötü amaçlı yazılım çerçevelerinin bir parçası haline gelmesinin ardından daha yaygın bir şekilde kullanıldı. Eklenti işlevi, o zamandan beri saldırganlar arasında giderek daha popüler hale geldi; Aslında, 2022’nin başlarında yayınlanan bir Arctic Wolf raporuna göre, XLL dosyalarının kullanımı 2021’de yaklaşık %600 arttı.
Bunun nedenlerinden biri, Microsoft Office’in özelliği engellememesi, bunun yerine Microsoft’un geçmişte benimsediği yaygın bir yaklaşım olan bir diyalog kutusu oluşturmasıdır, Svajcer şunları yazdı: “Bir XLL dosyası yüklenmeden önce Excel, dosya hakkında bir uyarı görüntüler. kötü amaçlı kod dahil olma olasılığı. Ne yazık ki, birçok kullanıcı uyarıyı dikkate almama eğiliminde olduğundan, bu koruma tekniği genellikle kötü amaçlı koda karşı bir koruma olarak etkisizdir.”
Vulcan Cyber’in kıdemli teknik mühendisi Mike Parkin, Dark Reading’e, engelleme uygulandıktan sonra bile bir sorun olabileceğini söylüyor.
“Maalesef, bu noktada, kullanıcıların kolayca tıklayabileceği bir uyarı mı, daha proaktif bir ‘varsayılan olarak kapalı’ ayarı mı yoksa internetten indirilen XLL dosyaları için tamamen devre dışı mı bırakılacağı belli değil. “diye not ediyor.
Siber Saldırganların Önünde Kalmak mı?
Siber güvenlik firmaları, yirmi yılı aşkın bir süredir, Office biçimleri veya PDF dosyaları gibi yaygın dosya türlerindeki kötü amaçlı komut dosyaları için olası yolları ortadan kaldırmaya çalıştı, ancak saldırganlar her zaman uyum sağladı.
Örneğin, Visual Basic for Applications (VBA) ve Excel 4.0 makrolarının her ikisi de son beş yılda kötü amaçlı yazılım dağıtımı için o kadar popüler hale geldi ki Microsoft, 2022 yazında Office makrolarını varsayılan olarak engelledi ve makroların kendilerine bir İşaret atandığında çalışmasına izin vermedi. belgenin internetten geldiğini gösteren Web (MotW) etiketi.
Cisco’daki araştırmacıların bu hafta yaptığı bir analize göre, bu kararın ardından tehdit aktörleri, Shell Link (LNK) dosyalarını bir dizi kötü amaçlı yazılım ailesi için yük olarak dahil etmeye başladı ve bu dosyaların kullanımı, Qakbot’un arkasındaki operatörlerin kullanımındaki ani artışla Ekim ayında zirveye ulaştı. Talos istihbarat grubu.
Ayrıca, makroları engellemenin ardından kötü amaçlı kodu gizlemenin daha popüler bir yolu haline gelen tek dosya türü LNK dosyaları değildir. Örneğin, üçüncü çeyreğe ait “HP Wolf Security Threat Insights Report”a göre, 2022’nin üçüncü çeyreğinde, zip arşivleri ve HTML dosyaları, kötü amaçlı yazılım dağıtımı için en yaygın dosya türleri haline geldi ve kötü amaçlı yazılım dosyalarının %44’ü arşivlerde gizlendi.
Siber güvenlik hizmetleri firmasında rakip işbirliği mühendisi olan Dave Storie, bu alternatif yaklaşımlar o kadar verimli veya güçlü olmasa bile, şirketlerin ürünlerini daha yaygın saldırı tekniklerine karşı güçlendirdiği için, saldırganların kurbanların sistemlerini başarılı bir şekilde tehlikeye atmaya devam etmek için bunları benimsemesi gerekecek. Lares Danışmanlık, Dark Reading’e gönderdiği açıklamada.
“Microsoft gibi kuruluşlar saldırı yüzeyini azalttığında veya ürünlerine yönelik bir saldırı gerçekleştirmek için gereken çabayı başka bir şekilde artırdığında, tehdit aktörlerini alternatif yollar keşfetmeye zorlar” dedi. “Bu genellikle, tehdit aktörlerinin hedeflerine ulaşmaları için önceden bilinen, belki de daha az ideal olan seçeneklerin keşfedilmesine yol açar.”