Infografik Sicherheit im Netz: Deutsche fürchten sich vor Datenmissbrauch
Ende März sollen alle Nutzer versorgt sein
"Wir haben den Rollout für die Insider-Vorschau bereits abgeschlossen. Wir werden Anfang März mit dem Rollout beginnen und erwarten, dass er bis Ende März abgeschlossen ist."In Zukunft wird, wenn die XLL-Blockierung standardmäßig aktiviert wird, eine Warnung angezeigt, wenn Nutzer versuchen, Inhalte von nicht vertrauenswürdigen Standorten zu aktivieren. Die Warnung soll über das potenzielle Risiko informieren. Die Änderung ist Teil eines umfassenderen Vorhabens zur Bekämpfung des Anstiegs von Malware-Kampagnen, die in den letzten Jahren verschiedene Office-Dokumentformate als Infektionsvektor missbrauchen. So hatte Microsoft bereits im Jahr 2018 damit begonnen, erste Office-Infektionsvektoren zu entfernen, die häufig genutzt wurden.
Unter anderem wurde die Unterstützung für AMSI auf Office 365-Apps ausgeweitet, um Angriffe mit VBA-Makros zu blockieren. Zudem wurden mit Excel 4.0 (XLM)-Makros deaktiviert, ein XLM-Makroschutz hinzugefügt und angekündigt, dass VBA-Office-Makros standardmäßig blockiert werden.
Was sind XLL-Add-Ins?
Excel-XLL-Dateien sind Dynamic-Link-Bibliotheken (DLLs), die dazu dienen, die Funktionalität von Microsoft Excel um zusätzliche Funktionen wie benutzerdefinierte Funktionen, Dialogfelder und Symbolleisten zu erweitern. Angreifer machen sich XLL-Add-Ins jedoch vermehrt in Phishing-Kampagnen zunutze, wobei sie manipulierte Daten über Anhänge verteilen und vorgeben, von bekannten Adressaten wie Geschäftspartnern zu kommen.Bevor Microsoft die XLLs standardmäßig blockierte, konnten Opfer infiziert werden, die die nicht vertrauenswürdigen Add-ins aktivierten und öffneten. Nach dem Öffnen wurde Malware im Hintergrund installiert, ohne dass der Nutzer etwas tat oder das mitbekam. In den letzten zwei Jahren haben dabei immer mehr Malware-Familien XLLs als Infektionsvektor benutzt.
Zusammenfassung
- Microsoft blockiert XLL-Add-Ins von nicht vertrauenswürdigen Standorten standardmäßig in Excel.
- Nutzer erhalten Warnungen, wenn sie Inhalte von nicht vertrauenswürdigen Standorten aktivieren.
- Rollout der XLL-Blockierung startet Anfang März und soll bis Ende März abgeschlossen sein.
- XLL-Dateien sind Dynamic-Link-Bibliotheken, die Excel erweitern.
- Angreifer nutzten XLLs in Phishing-Kampagnen, um Malware zu installieren.
- Microsoft hat in den letzten Jahren verschiedene Office-Infektionsvektoren entfernt.
- Unterstützung für AMSI wurde auf Office 365-Apps ausgeweitet.