X

Nach verstärkten Angriffen: Microsoft Excel blockiert jetzt XLL-Add-Ins

Microsoft hat eine neue Sicherheitsmaßnahme für Excel gestartet. In der Tabellenkalkulation werden jetzt standardmäßig alle nicht vertrauenswürdigen XLL-Add-Ins automatisch blockiert. Das gilt weltweit, Nutzer bekommen zudem eine Warnung angezeigt.
08.03.2023  15:12 Uhr
Das Office-Team hat die Änderung bereits im Januar gestartet. Damals gab es zunächst einmal die Ankündigung in der Microsoft 365-Roadmap und dann fast zeitgleich den Start in die Testphase für Insider. "Wir führen eine Standardänderung für Excel-Windows-Desktop-Anwendungen ein, die XLL-Add-ins ausführen: XLL-Add-Ins von nicht vertrauenswürdigen Standorten werden nun standardmäßig blockiert", so Microsoft in einem neuen Beitrag im Microsoft 365 Message-Center. Die Blockierung der XLL-Add-Ins wird nun voraussichtlich schon ab Ende März allgemein in Multi-Tenants weltweit verfügbar sein. Derzeit läuft die Verteilung an alle Desktop-Nutzer in den Channels "Current", "Monthly Enterprise" und "Semi-Annual Enterprise".

Sicherheit im Netz: Deutsche fürchten sich vor Datenmissbrauch
Infografik Sicherheit im Netz: Deutsche fürchten sich vor Datenmissbrauch

Ende März sollen alle Nutzer versorgt sein

"Wir haben den Rollout für die Insider-Vorschau bereits abgeschlossen. Wir werden Anfang März mit dem Rollout beginnen und erwarten, dass er bis Ende März abgeschlossen ist."

In Zukunft wird, wenn die XLL-Blockierung standardmäßig aktiviert wird, eine Warnung angezeigt, wenn Nutzer versuchen, Inhalte von nicht vertrauenswürdigen Standorten zu aktivieren. Die Warnung soll über das potenzielle Risiko informieren. Die Änderung ist Teil eines umfassenderen Vorhabens zur Bekämpfung des Anstiegs von Malware-Kampagnen, die in den letzten Jahren verschiedene Office-Dokumentformate als Infektionsvektor missbrauchen. So hatte Microsoft bereits im Jahr 2018 damit begonnen, erste Office-Infektionsvektoren zu entfernen, die häufig genutzt wurden.

Unter anderem wurde die Unterstützung für AMSI auf Office 365-Apps ausgeweitet, um Angriffe mit VBA-Makros zu blockieren. Zudem wurden mit Excel 4.0 (XLM)-Makros deaktiviert, ein XLM-Makroschutz hinzugefügt und angekündigt, dass VBA-Office-Makros standardmäßig blockiert werden.

Was sind XLL-Add-Ins?

Excel-XLL-Dateien sind Dynamic-Link-Bibliotheken (DLLs), die dazu dienen, die Funktionalität von Microsoft Excel um zusätzliche Funktionen wie benutzerdefinierte Funktionen, Dialogfelder und Symbolleisten zu erweitern. Angreifer machen sich XLL-Add-Ins jedoch vermehrt in Phishing-Kampagnen zunutze, wobei sie manipulierte Daten über Anhänge verteilen und vorgeben, von bekannten Adressaten wie Geschäftspartnern zu kommen.

Bevor Microsoft die XLLs standardmäßig blockierte, konnten Opfer infiziert werden, die die nicht vertrauenswürdigen Add-ins aktivierten und öffneten. Nach dem Öffnen wurde Malware im Hintergrund installiert, ohne dass der Nutzer etwas tat oder das mitbekam. In den letzten zwei Jahren haben dabei immer mehr Malware-Familien XLLs als Infektionsvektor benutzt.

Zusammenfassung
  • Microsoft blockiert XLL-Add-Ins von nicht vertrauenswürdigen Standorten standardmäßig in Excel.
  • Nutzer erhalten Warnungen, wenn sie Inhalte von nicht vertrauenswürdigen Standorten aktivieren.
  • Rollout der XLL-Blockierung startet Anfang März und soll bis Ende März abgeschlossen sein.
  • XLL-Dateien sind Dynamic-Link-Bibliotheken, die Excel erweitern.
  • Angreifer nutzten XLLs in Phishing-Kampagnen, um Malware zu installieren.
  • Microsoft hat in den letzten Jahren verschiedene Office-Infektionsvektoren entfernt.
  • Unterstützung für AMSI wurde auf Office 365-Apps ausgeweitet.
Verwandte Themen
Microsoft Excel
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture