Cyberattaque

Microsoft prévoit de mettre fin à la diffusion de logiciels malveillants via les modules complémentaires XLL d’Excel

Par Philippe Ternision , le 23 janvier 2023 , mis à jour le 23 janvier 2023 - 4 minutes de lecture
excel office 365
Notez l'article

Microsoft tente d’inclure l’interdiction automatique de tous les fichiers téléchargés sur Internet dans sa protection des modules complémentaires XLL pour les abonnés à Microsoft 365.

Cela permettra de lutter contre la prolifération des campagnes de logiciels malveillants qui ont abusé de ce canal d’attaque dans une mesure croissante au cours des dernières années.

“Nous mettons en place des mécanismes qui limiteront les compléments XLL provenant d’Internet afin de faire face au nombre croissant d’attaques de logiciels malveillants ces derniers mois”, affirme Redmond.

Selon Microsoft, la nouvelle fonctionnalité sera généralement disponible en mars pour les clients des postes de travail dans les canaux Current, Monthly Enterprise et Semi-Annual Enterprise dans les multi-locataires du monde entier.

Les attaquants utilisent les compléments XLL (DLL Excel) dans les campagnes de phishing pour diffuser diverses charges utiles malveillantes sous la forme de liens de téléchargement ou de pièces jointes déguisés en documents provenant de sources fiables, comme des partenaires commerciaux, ou en fausses demandes de publicité, guides de cadeaux de vacances et promotions de sites Web.

Un avertissement de contenu de sécurité potentiel, un avertissement indiquant que “les modules complémentaires peuvent contenir des virus ou d’autres menaces de sécurité” et une demande d’activation du module complémentaire pour la session en cours s’affichent lorsque la cible double-clique sur un fichier XLL non signé pour l’ouvrir.

L’add-in installera également de manière silencieuse un logiciel malveillant sur l’appareil de la victime s’il est actif (de nombreuses personnes rejettent les notifications d’Office sans y réfléchir).

Vous ne devez ouvrir un fichier XLL que si vous êtes certain qu’il provient d’une source fiable, car il s’agit d’exécutables qui peuvent être utilisés par des attaquants à des fins néfastes.

De plus, ces fichiers sont souvent installés par un administrateur Windows plutôt que fournis en pièces jointes d’un courriel. Par conséquent, si vous recevez un e-mail ou une autre communication vous incitant à télécharger l’un de ces fichiers, supprimez-le et marquez-le comme spam.

Excel XLL alert
Avertissement Excel XLL (BleepingComputer)

Selon un rapport publié en janvier par Cisco Talos, les XLL sont actuellement utilisées comme vecteur d’infection par des attaquants motivés par l’appât du gain et par des organisations de menace soutenues par l’État (APT10, FIN7, Donot, TA410) pour transmettre des charges utiles de premier niveau sur les appareils de leurs cibles.

Même si les modules complémentaires XLL existent depuis un certain temps, les acteurs malveillants n’ont commencé à les employer pour créer des portes dérobées entièrement fonctionnelles que lorsque certains groupes APT ont commencé à le faire au milieu de l’année 2017, selon Cisco Talos.

Nous avons également constaté qu’à mesure que davantage de familles de logiciels malveillants de commodité ont commencé à utiliser les XLL comme vecteur d’attaque au cours des deux dernières années, leur utilisation a rapidement augmenté.

Dans son rapport Threat Insights Report Q4 2021, l’équipe d’analyse des menaces d’HP a noté un “pic de multiplication par près de six des attaquants utilisant des compléments Excel (.XLL)” par rapport à l’année précédente.

XLL attack timeline
Chronologie des attaques XLL (Cisco Talos)

Cette initiative s’inscrit dans le cadre d’un effort plus vaste visant à empêcher les acteurs de la menace d’infecter les PC des utilisateurs avec des logiciels malveillants en utilisant des documents Office malveillants.

Selon Microsoft, les macros VBA seront automatiquement interdites dans les documents Office téléchargés à partir de juillet 2022, ce qui rendra plus difficile leur activation dans les documents obtenus sur Internet dans certaines applications Office (Access, Excel, PowerPoint, Visio et Word).

En incluant l’analyse des macros Excel 4.0 (XLM) dans la défense d’exécution offerte par la connexion d’Office 365 avec Antimalware Scan Interface (AMSI), l’entreprise a ajouté la protection des macros XLM dans M365 en mars 2021.

À partir de janvier 2021, Redmond désactivera automatiquement les macros Excel 4.0 (XLM) lorsqu’elles seront ouvertes dans les locataires de Microsoft 365.

Microsoft a également ajouté la prise en charge d’AMSI aux apps Office 365 en 2018 pour protéger les utilisateurs des attaques utilisant les macros VBA.

 

  • Kramer VIA PAD - Périphérique USB d'installation et de connexion
    Kramer VIA PADAccessoire USB permettant la diffusion du contenu sur l'écran !Cet accessoire offre une connexion simple et automatisée car il se connecte directement sur le port USB du PC ou du MAC. A sa connexion, le VIA PAD renseigne automatiquement les noms de la salle, de l'utisateur et peut identifier le code de la salle.Enfin, il permet de se connecter sur le mode "invité" sans ajouter l'application sur le bureau de l'utilisateur et le mode "normal" avec l'application.Compatibilité :Mac Os X 10.8, 10.9 et 10.10Windows 7, 8, 8.1 et 10Android 4.0+Windows Phone 8 et iOS 8
  • Mawa d28 Suspension LED, blanc mat , fin de série
    Ce luminaire comporte des modules à LED prémontés de classes énergétiques A A++, A+, A
  • Fleurance Nature Complexe pour diffusion air pur
    Grâce à l’action complémentaire de 20 huiles essentielles biologiques le complexe pour diffusion AIR PUR assainit durablement votre intérieur. Il vous apporte un souffle de fraîcheur tout en laissant une odeur agréable. Il contient notamment de l’huile essentielle de menthe poivrée de romarin de cajeput d’arbre à thé et de ravintsara. Toutes les huiles essentielles composant nos complexes pour diffusion sont garanties HEBBD : Huiles Essentielles Botaniquement et Biochimiquement Définies.
Philippe Ternision

Philippe Ternision

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.