В компании сообщили, что теперь Excel по умолчанию блокирует ненадежные надстройки (файлы .XLL) в клиентах Microsoft 365. Новая функция станет общедоступной по всему миру уже в конце марта 2023 года, когда обновление распространится на всех пользователей десктопов в каналах Current, Monthly Enterprise и Semi-Annual Enterprise.
«Мы изменяем настройки по умолчанию для настольных приложений Excel для Windows, которые запускают надстройки XLL: надстройки XLL из ненадежных источников теперь будут блокироваться по умолчанию. Мы уже завершили развертывание превью для инсайдеров, начнем развертывание [обновления] в начале марта и планируем завершить его к концу месяца», — сообщают в компании.
В скором времени в клиентах, где блокировка XLL включена по умолчанию, будет отображаться предупреждение о потенциальном риске, если пользователь попытается активировать содержимое, полученное из недоверенного источника.
Напомню, что о грядущей блокировке таких файлов, загруженных из интернета, разработчики предупреждали еще в январе текущего года. Дело в том, что ИБ-исследователи уже писали о том, что после блокировки макросов VBA в загруженных из интернета документах Office (с отметкой Mark Of The Web), злоумышленникам пришлось пересмотреть свои цепочки атак. Теперь хакеры все чаще используют файлы XLL в своих фишинговых кампаниях, маскируя их под важные документы, рекламные акции и так далее.
Так как файлы XLL являются исполняемыми, злоумышленники могут использовать их для запуска вредоносного кода. Еще в прошлом году эксперты предупреждали, что файлами XLL уже активно злоупотребляют китайские хак-группы APT10 и TA410 (причем они начали еще в 2017 году); русскоязычная группировка FIN7, которая начала использовать файлы надстроек в своих кампаниях минувшим летом; известный загрузчик малвари Dridex и загрузчик FormBook; а также другие крупные семейства вредоносов, включая AgentTesla, Ransomware Stop, Vidar, Buer Loader, Nanocore, IceID, Arkei, AsyncRat, BazarLoader и так далее.