Microsoft Excel

Microsoft によると、Excel スプレッドシート ソフトウェアは現在、世界中の Microsoft 365 テナントで、信頼されていない XLL アドインを既定でブロックしています。

同社は 1 月にこの変更を発表し、Microsoft 365 ロードマップに新しいエントリが追加され、最初に Insiders にロールアウトして初期テスト段階に入った.

この新機能は、Current、Monthly Enterprise、および Semi-Annual Enterprise チャネルのすべてのデスクトップ ユーザーにロールアウトした後、3 月下旬までに世界中のマルチテナントで一般的に利用できるようになります。

Microsoft は、新しい Microsoft 365 メッセージ センターの投稿で、「XLL アドインを実行する Excel Windows デスクトップ アプリの既定の変更を導入します。信頼されていない場所からの XLL アドインは、既定でブロックされるようになります。

「Insider プレビューへのロールアウトは既に完了しています。3 月上旬にロールアウトを開始し、3 月下旬までに完了する予定です。」

今後、XLL のブロックが既定で有効になるテナントでは、ユーザーが信頼されていない場所からのコンテンツを有効にしようとするとアラートが表示され、潜在的なリスクが通知され、表示される理由に関する詳細情報を見つけることができます。警告。

これは、近年のさまざまな Office ドキュメント形式を感染経路として悪用するマルウェア キャンペーンの増加に対処するための、より広範な取り組みの一環です。

Microsoft は2018 年に、 VBA マクロを使用した攻撃をブロックするために AMSI のサポートを Office 365 アプリに拡張したときに、攻撃キャンペーンで使用された Office 感染ベクトルを削除する作業を開始しました。

それ以来、レドモンドはExcel 4.0 (XLM) マクロの無効化を開始しXLM マクロ保護を追加しVBA Office マクロも既定でブロックされるようになったことを発表しました。

XLL アドインとは

Excel XLL ファイルは、カスタム関数、ダイアログ ボックス、ツールバーなどの追加機能を使用して Microsoft Excel の機能を拡張するために使用されるダイナミック リンク ライブラリ (DLL) です。

ただし、攻撃者はフィッシング キャンペーンでも XLL アドインを利用しています。それらを使用して、ビジネス パートナーなどの信頼できるエンティティから、ダウンロード リンクや添付ファイルを装った悪意のあるペイロードをプッシュします。

XLL は既定でブロックされる前に、「アドインにはウイルスやその他のセキュリティ上の問題が含まれている可能性がある」という警告が表示されていたにもかかわらず、攻撃者が信頼できないアドインを有効にして開いた被害者に感染することを可能にしていました。

アドインを開いた後、マルウェアはユーザーの操作を必要とせずにバックグラウンドでインストールされました。

Cisco Talos のセキュリティ研究者によると、XLL は、国家が支援する脅威グループと金銭目的の攻撃者 ( APT10 FIN7DonotTA410 ) の両方で、標的のシステムに第 1 段階のペイロードを展開するために使用されています。

Cisco Talos は次のように述べています。

HP の脅威アナリスト チームは、2021 年第 4 四半期の脅威の要約の一環として、2022 年 1 月に「Excel アドイン (.XLL) を使用する攻撃者が 6 倍近く急増」したことも報告しています