Von VBA zu XLL
31.01.2023, 12:33 Uhr
Attacken über Excel-XLL-Dateien sollen erschwert werden
Nachdem Microsoft VBA-Makros zu blockieren begonnen hat, sind Angreifer auf XLL-Dateien für Excel ausgewichen. Jetzt will der Software-Riese auch hier einen Riegel vorschieben.
Microsoft soll im März damit beginnen, Excel-XLL-Add-Ins aus dem Internet zu blockieren, um einen zunehmend beliebten Angriffsvektor für Cyberkriminelle auszuschalten. Dies berichtet das Online-Portal «The Register». In einem kurzen Vermerk auf der Microsoft-365-Roadmap erklärte der Hersteller, dass dieser Schritt eine Reaktion auf «die steigende Anzahl von Malware-Angriffen in den letzten Monaten» sei.
Bereits im Juli 2022 hat Microsoft damit begonnen, VBA-Makros (Visual Basic for Application) in Word, Excel und PowerPoint standardmässig zu blockieren. Seitdem sind Hacker dazu übergegangen, andere Optionen zu nutzen, wie beispielsweise LNK-Dateien und ISO- und RAR-Anhänge. Ebenso rückten Excel-XLL-Dateien in den Fokus von Kriminellen. Sicherheitsforscher haben festgestellt, dass deren Verwendung stark zugenommen hat.
XLL-Dateien (Excel Dynamic Link Library) sind eine Art von DLL-Dateien (Dynamic Link Library), die nur in Excel geöffnet werden. Sie ermöglichen es Anwendungen von Drittanbietern, Tabellenkalkulationen um Funktionen zu erweitern. Wenn ein Benutzer in Excel eine Datei mit der Erweiterung «.XLL» im Windows Explorer öffnen möchte, versucht das System automatisch, Excel zu starten und die Datei zu öffnen. Daraufhin zeigt Excel eine Warnung über möglichen gefährlichen Code an, ähnlich wie beim Öffnen eines Office-Dokuments mit VBA-Makrocode. Und wie bei VBA-Makros ignorieren die Benutzer oft die Warnung.
Security-Experte begrüsst den Schritt
«Aus der Sicht von Cyberkriminellen ist die Microsoft-Office-Suite das perfekte Angriffsziel, da sie bei den meisten Computernutzern im Einsatz ist. In den letzten zehn Jahren wurden Makros, die in einige der beliebtesten Editoren wie Excel und Word integriert sind, zu einem der wichtigsten Angriffsvektoren», erklärt Jake Moore, Global Security Advisor bei Eset. «Seit Microsoft jedoch beschlossen hat, VBA-Makros im Jahr 2022 standardmässig aus dem Internet zu verbannen, hat dieser Angriffsweg an Attraktivität verloren und zwingt Angreifer, nach Alternativen zu suchen», berichtet er weiter. Ihm und diversen Berichten zufolge wurden XLL-Dateien zu einem der beliebtesten Ersatzprogramme. «Doch auch damit wird es bald vorbei sein, da Microsoft auch diesen Vektor abschalten will - eine gute Nachricht für die Benutzer, eine schlechte für die Kriminellen», so Moore.