Microsoft mengatakan perangkat lunak spreadsheet Excel sekarang memblokir add-in XLL yang tidak tepercaya secara default di penyewa Microsoft 365 di seluruh dunia.
Perusahaan diumumkan perubahan ini pada bulan Januari dengan entri baru yang ditambahkan ke roadmap Microsoft 365 saat memasuki fase pengujian awal dengan terlebih dahulu diluncurkan ke Insiders.
Fitur baru ini akan tersedia secara umum di multi-tenant di seluruh dunia pada akhir Maret setelah diluncurkan ke semua pengguna desktop di saluran Current, Monthly Enterprise, dan Semi-Annual Enterprise.
“Kami memperkenalkan perubahan default untuk aplikasi desktop Excel Windows yang menjalankan add-in XLL: add-in XLL dari lokasi yang tidak tepercaya sekarang akan diblokir secara default,” kata Microsoft dalam posting pusat pesan Microsoft 365 baru.
“Kami telah menyelesaikan peluncuran ke pratinjau Orang Dalam. Kami akan mulai meluncurkan awal Maret dan diharapkan selesai pada akhir Maret.”
Ke depan, di penyewa di mana pemblokiran XLL akan diaktifkan secara default, peringatan akan ditampilkan saat pengguna mencoba mengaktifkan konten dari lokasi yang tidak tepercaya, memberi tahu mereka tentang potensi risiko dan memungkinkan mereka menemukan lebih banyak informasi tentang mengapa mereka melihat peringatan.
Ini adalah bagian dari upaya yang lebih luas untuk mengatasi munculnya kampanye malware yang menyalahgunakan berbagai format dokumen Office sebagai vektor infeksi selama beberapa tahun terakhir.
Microsoft mulai bekerja untuk menghapus vektor infeksi Office yang digunakan dalam kampanye serangan kembali pada tahun 2018 ketika memperluas dukungan untuk aplikasi AMSI ke Office 365 untuk memblokir serangan menggunakan makro VBA.
Sejak itu, Redmond mulai menonaktifkan makro Excel 4.0 (XLM)., menambahkan perlindungan makro XLMdan mengumumkan itu Makro VBA Office sekarang juga diblokir secara default.
Apa itu add-in XLL?
File XLL Excel adalah pustaka tautan dinamis (DLL) yang digunakan untuk memperluas fungsionalitas Microsoft Excel dengan fitur tambahan seperti fungsi kustom, kotak dialog, dan bilah alat.
Namun, penyerang juga memanfaatkan add-in XLL dalam kampanye phishing. Mereka menggunakannya untuk mendorong muatan berbahaya disamarkan sebagai tautan unduhan atau lampiran dari entitas tepercaya seperti mitra bisnis.
Sebelum diblokir secara default, XLL akan mengizinkan penyerang menginfeksi korban yang mengaktifkan add-in yang tidak tepercaya dan membukanya meskipun mereka diperingatkan bahwa “add-in mungkin mengandung virus atau bahaya keamanan lainnya.”
Setelah membuka add-in, malware terinstal di latar belakang tanpa memerlukan interaksi pengguna.
XLL telah digunakan oleh kelompok ancaman yang didukung negara dan penyerang yang bermotivasi finansial (APT10, FIN7, Tidak, TA410) untuk menyebarkan muatan tahap pertama ke sistem target mereka, menurut Peneliti keamanan Cisco Talos.
“Penggunaannya meningkat secara signifikan selama dua tahun terakhir karena lebih banyak keluarga komoditas malware mengadopsi XLL sebagai vektor infeksi mereka,” kata Cisco Talos.
Tim analis ancaman HP juga dilaporkan melihat “lonjakan penyerang yang hampir enam kali lipat menggunakan add-in Excel (.XLL)” pada Januari 2022 sebagai bagian dari rekap ancaman Q4 2021 mereka.
