Mehr Sicherheit für Office-Nutzer
Microsoft will Angriffswelle über XLL-Dateien stoppen
Nach den VBA-Makros will Microsoft bald auch die Ausführung von XLL-Add-Ins für Excel aus dem Internet blockieren. Diese sind in den letzten Monaten zu einem besonders häufig genutzten Angriffspfad von Cyberkriminellen geworden.
Weil es in den vergangenen Jahren eine wachsende Zahl von Cyberangriffen über verseuchte VBA-Makros (Visual Basic for Application) für Office-Programme gegeben hatte, hat Microsoft diese im Sommer 2022 in den Standard-Einstellungen von Word, Excel und PowerPoint blockiert. Seitdem ist die Anzahl der entsprechenden Angriffe signifikant zurückgegangen. Stattdessen sind die Hacker inzwischen weitgehend auf andere Dateiformate zum Verschicken von Malware wie LNK-Dateien sowie ISO- und RAR-Anhänge umgestiegen, die ihnen bessere Erfolgsaussichten versprechen. Im Office-Bereich verlegten sie ihre Aktivitäten insbesondere auf XLL-Dateien für Excel, wie die Erhebungen von Sicherheitsanbietern zeigen. Doch auch damit soll nun bald Schluss sein. In seiner Roadmap für Microsoft 365 kündigt der Softwarehersteller an, ab März damit zu beginnen, auch die XLL-Erweiterungen entsprechend aus der Schusslinie zu nehmen: „Um die wachsende Zahl der Malware-Angriffe in den letzten Monaten zu bekämpfen, implementieren wir Maßnahmen, mit denen aus dem Internet kommende XLL-Add-ins blockiert werden.“
Bei den XLL-Dateien handelt es sich um spezielle DLL-Dateien für Excel, die es Drittanbietern ermöglichen, die Tabellenkalkulation mit eigenen Anwendungen um zusätzliche Funktionen zu erweitern. Allerdings lässt sich darüber auch Schadcode einschleusen. Werden sie geöffnet, startet das System Excel und versucht die Erweiterungen zu laden. Ähnlich wie bei den VBA-Makros wird den Nutzern dabei eine Warnung angezeigt, dass sie Schadcode enthalten könnten. Diese wird jedoch meist ignoriert, wie Jake Moore, Global Security Advisor bei Eset, ausführt: „Häufig drücken Anwender arglos auf die gelbe Leiste mit der Schaltfläche „Makros aktivieren" oder „Inhalt aktivieren". So kann mit nur einem Klick einen umfassenden Angriff auslöst, der oft mit einer Ransomware-Kompromittierung endet.“
Dass die Angreifer besonders gerne über Office kommen, ist insbesondere dessen großer Verbreitung geschuldet, mit der sich sowohl die Zahl der möglichen Opfer als auch die Erfolgsaussichten potenzieren. „Aus der Sicht von Cyberkriminellen ist die Microsoft Office-Suite das perfekte Angriffsziel, da sie bei den meisten Computernutzern im Einsatz ist“, erklärt Moore.
Lesen Sie mehr zum Thema
