MICROSOFT EXCEL BLOQUEA COMPLEMENTOS XLL QUE NO SON DE CONFIANZA DE FORMA PREDETERMINADA

Microsoft dice que el software de hoja de cálculo de Excel ahora está bloqueando los complementos XLL que no son de confianza de forma predeterminada en los inquilinos de Microsoft 365 en todo el mundo.

La compañía  anunció  este cambio en enero con una nueva entrada agregada a la hoja de ruta de Microsoft 365 cuando entró en una fase de prueba inicial al implementarse por primera vez en Insiders.

La nueva función estará disponible de forma general en múltiples inquilinos en todo el mundo a fines de marzo después de implementarse para todos los usuarios de escritorio en los canales Actual, Mensual Enterprise y Semi-Annual Enterprise.

“Estamos introduciendo un cambio predeterminado para las aplicaciones de escritorio de Excel Windows que ejecutan complementos XLL: los complementos XLL de ubicaciones que no son de confianza ahora se bloquearán de forma predeterminada”, dijo Microsoft en una nueva publicación del centro de mensajes de Microsoft 365.

“Ya hemos completado la implementación de la versión preliminar de Insiders. Comenzaremos a implementarla a principios de marzo y esperamos completarla a fines de marzo”.

En el futuro, en los inquilinos donde el bloqueo XLL se habilitará de forma predeterminada, se mostrará una alerta cuando los usuarios intenten habilitar el contenido de ubicaciones que no son de confianza, informándoles del riesgo potencial y permitiéndoles encontrar más información sobre por qué están viendo el advertencia.

Esto es parte de un esfuerzo más amplio para abordar el aumento de campañas de malware que abusan de varios formatos de documentos de Office como vector de infección en los últimos años.

Microsoft comenzó a trabajar para eliminar los vectores de infección de Office utilizados en las campañas de ataque  en 2018, cuando amplió la compatibilidad con AMSI a las aplicaciones de Office 365 para bloquear los ataques mediante macros de VBA.

Desde entonces, Redmond  comenzó a deshabilitar las macros de Excel 4.0 (XLM) ,  agregó la protección de macros XLM y anunció que  las macros de VBA Office ahora también están bloqueadas de manera predeterminada .

¿Qué son los complementos XLL?

Los archivos XLL de Excel son bibliotecas de vínculos dinámicos (DLL) que se utilizan para expandir la funcionalidad de Microsoft Excel con características adicionales como funciones personalizadas, cuadros de diálogo y barras de herramientas.

Sin embargo, los atacantes también aprovechan los complementos XLL en las campañas de phishing. Los usan para impulsar cargas maliciosas  disfrazadas  de enlaces de descarga o archivos adjuntos de entidades confiables, como socios comerciales.

Antes de ser bloqueados de forma predeterminada, los XLL permitirían a los atacantes infectar a las víctimas que habilitaron los complementos que no son de confianza y los abrieron aunque se les advirtiera que “los complementos podrían contener virus u otros riesgos de seguridad”.

Después de abrir los complementos, el malware se instaló en segundo plano sin requerir la interacción del usuario.

Los XLL han sido utilizados tanto por grupos de amenazas respaldados por el estado como por atacantes motivados financieramente ( APT10 ,  FIN7 ,  Donot ,  TA410 ) para implementar cargas útiles de primera etapa en los sistemas de sus objetivos, según los  investigadores de seguridad de Cisco Talos .

“Su uso aumentó significativamente en los últimos dos años a medida que más familias de malware de productos básicos adoptaron XLL como su vector de infección”, dijo Cisco Talos.

El equipo de analistas de amenazas de HP también  informó  haber visto un “aumento de casi seis veces en los atacantes que usan complementos de Excel (.XLL)” en enero de 2022 como parte de su resumen de amenazas del cuarto trimestre de 2021.