Microsoft affirme que le logiciel de feuille de calcul Excel bloque désormais par défaut les compléments XLL non approuvés dans les locataires Microsoft 365 du monde entier.
La société a annoncé ce changement en janvier avec une nouvelle entrée ajoutée à la feuille de route Microsoft 365 lorsqu’elle est entrée dans une phase de test initiale en lançant d’abord aux Insiders.
La nouvelle fonctionnalité sera généralement disponible dans les multi-locataires du monde entier d’ici fin mars après son déploiement auprès de tous les utilisateurs de bureau dans les canaux actuels, mensuels d’entreprise et semestriels d’entreprise.
« Nous introduisons un changement par défaut pour les applications de bureau Excel Windows qui exécutent des compléments XLL : les compléments XLL provenant d’emplacements non approuvés seront désormais bloqués par défaut », a déclaré Microsoft dans un nouveau message du centre de messagerie Microsoft 365.
« Nous avons déjà terminé le déploiement de l’aperçu Insiders. Nous commencerons le déploiement début mars et nous prévoyons de le terminer d’ici la fin mars. »
À l’avenir, dans les locataires où le blocage XLL sera activé par défaut, une alerte s’affichera lorsque les utilisateurs tenteront d’activer le contenu provenant d’emplacements non fiables, les informant du risque potentiel et leur permettant de trouver plus d’informations sur les raisons pour lesquelles ils voient le avertissement.
Cela fait partie d’un effort plus large visant à lutter contre la montée des campagnes de logiciels malveillants abusant de divers formats de documents Office comme vecteur d’infection au cours des dernières années.
Microsoft a commencé à travailler pour supprimer les vecteurs d’infection Office utilisés dans les campagnes d’attaque en 2018 lorsqu’il a étendu la prise en charge d’AMSI aux applications Office 365 pour bloquer les attaques à l’aide de macros VBA.
Depuis lors, Redmond a commencé à désactiver les macros Excel 4.0 (XLM), a ajouté la protection contre les macros XLM et a annoncé que les macros VBA Office sont désormais également bloquées par défaut.
Que sont les compléments XLL ?
Les fichiers Excel XLL sont des bibliothèques de liens dynamiques (DLL) utilisées pour étendre les fonctionnalités de Microsoft Excel avec des fonctionnalités supplémentaires telles que des fonctions personnalisées, des boîtes de dialogue et des barres d’outils.
Cependant, les attaquants profitent également des compléments XLL dans les campagnes de phishing. Ils les utilisent pour pousser des charges utiles malveillantes déguisées en liens de téléchargement ou en pièces jointes provenant d’entités de confiance telles que des partenaires commerciaux.
Avant d’être bloqués par défaut, les XLL permettaient aux attaquants d’infecter les victimes qui activaient les compléments non fiables et les ouvraient même s’ils étaient avertis que les « compléments pouvaient contenir des virus ou d’autres risques pour la sécurité ».
Après avoir ouvert les compléments, le logiciel malveillant s’est installé en arrière-plan sans nécessiter d’interaction de l’utilisateur.
Selon les chercheurs en sécurité de Cisco Talos, les XLL ont été utilisées à la fois par des groupes de menaces soutenus par l’État et des attaquants à motivation financière (APT10, FIN7, Donot, TA410) pour déployer des charges utiles de première étape sur les systèmes de leurs cibles.
« Leur utilisation a considérablement augmenté au cours des deux dernières années, car de plus en plus de familles de logiciels malveillants ont adopté les XLL comme vecteur d’infection », a déclaré Cisco Talos.
L’équipe d’analystes des menaces de HP a également signalé avoir vu « une multiplication par près de six des attaquants utilisant des compléments Excel (.XLL) » en janvier 2022 dans le cadre de leur récapitulatif des menaces du quatrième trimestre 2021.