Microsoft prévoit de rendre ses applications Office plus sécurisées en bloquant tous les compléments Excel XLL téléchargés depuis Internet. La société a expliqué que cette décision devrait aider à empêcher les acteurs malveillants d’abuser de cette avenue populaire pour cibler les clients Microsoft 365 dans le monde entier.
Essentiellement, les fichiers XLL sont des bibliothèques de liens dynamiques (DLL) qui permettent aux utilisateurs d’utiliser des outils et des fonctions tiers dans Microsoft Excel. Ces fichiers fournissent des fonctionnalités supplémentaires (telles que des boîtes de dialogue, des barres d’outils et des fonctions personnalisées) qui ne font pas nativement partie du logiciel.
L’année dernière, Microsoft a annoncé qu’il bloquait Visual Basic pour Applications (VBA) macros par défaut dans Word, Excel et PowerPoint. Depuis lors, les acteurs de la menace recherchent des méthodes alternatives (comme les fichiers LNK et les fichiers Excel XLL) pour déployer des charges utiles de logiciels malveillants. Les chercheurs en sécurité ont averti que les attaquants utilisent de plus en plus ces techniques pour vol de données, attaques de rançongiciels et autres cybercrimes.
“Depuis un certain temps après cela, l’utilisation des fichiers XLL n’est que sporadique et n’augmente pas de manière significative jusqu’à la fin de 2021, lorsque des familles de logiciels malveillants de base telles que Dridex et Formbook ont commencé à les utiliser », a expliqué Vanja Svajcer, chercheuse en sensibilisation pour Talos.
Microsoft va fermer les portes dérobées des logiciels malveillants en bloquant les fichiers Excel XLL
Pour résoudre ce problème, Microsoft bloquera bientôt tous les compléments Excel XLL téléchargés depuis Internet dans ses applications Office.”Afin de lutter contre le nombre croissant d’attaques de logiciels malveillants ces derniers mois, nous mettons en œuvre des mesures qui bloqueront les compléments XLL provenant d’Internet”, a déclaré la société sur la feuille de route Microsoft 365.
Globalement, cette décision fait partie des efforts continus de Microsoft pour empêcher les pirates d’utiliser des documents Office malveillants pour compromettre les systèmes Windows. Cela devrait les empêcher d’accéder à distance aux machines, de surveiller l’activité et de voler des données. La liste Microsoft 365 suggère que ce changement commencera à être déployé dans le canal actuel, le canal d’entreprise mensuel et le canal d’entreprise semestriel en mars.