Blocage par défaut des fichiers XLL transmis via Internet
Microsoft serait en train d’implémenter la fonctionnalité de blocage par défaut des fichiers XLL téléchargés depuis Internet, annoncée en janvier dernier. Cette fonctionnalité sera généralisée d’ici la fin du mois pour l’ensemble des utilisateurs.
Ainsi, lorsque les utilisateurs ouvriront un fichier XLL transmis par un tiers, le code contenu à l’intérieur du fichier sera bloqué par défaut et un message sera adressé à l’utilisateur afin de l’avertir des risques encourus.
Les fichiers XLL sont des documents Excel de type DLL
(dynamic-link libraries
) offrant des fonctionnalités diverses : fonctions personnalisées, boîtes de dialogue ou encore barre d’outils.
La mesure s’inscrit dans un ensemble de décisions de Microsoft pour lutter contre les attaques
Cette mesure de Microsoft s’inscrit dans un contexte de lutte active contre les campagnes de phishing, essentiellement basées sur des documents Office vérolés. On peut citer les récentes décisions du géant américain :
- Intégration de la fonctionnalité
AMSI
(Antimalware Scan Interface
) au sein des applications Office365 en 2018 ; - Désactivation par défaut des macros sur les fichiers XLM en janvier 2021 ;
- Désactivation des macros VBA sur l’ensemble des documents Office en juillet 2022 ;
Le risque demeure avec de nouveaux vecteurs de compromissions
Selon Cisco Talos, les acteurs de la menace (d’origine étatique et les cybercriminels motivés par l’argent) s’étaient rapidement adaptés à la décision de Microsoft de juillet 2022 en ayant massivement recours aux fichiers XLL afin de compromettre les postes d’utilisateurs. L’entreprise prenait notamment les exemples des groupes APT10
, FIN7
, Donot
et TA410
.
La dernière mesure de Microsoft va donc réduire davantage les options disponibles aux attaquants.
Néanmoins, la menace reste importante comme l’illustre la campagne identifiée en février 2023 et visant à déployer le trojan Qbot via des fichiers OneNote. De fait, l’application OneNote n’est pas concernée par la désactivation par défaut des macros, les attaquants peuvent donc transmettre des emails de phishing contenant un fichier OneNote vérolé sans que Microsoft ne puisse en avertir les utilisateurs.
Références
- https://www.bleepingcomputer.com/news/microsoft/microsoft-excel-now-blocking-untrusted-xll-add-ins-by-default/
- https://news.sophos.com/en-us/2023/02/06/qakbot-onenote-attacks/
- https://www.bleepingcomputer.com/news/security/new-qaknote-attacks-push-qbot-malware-via-microsoft-onenote-files/
- https://blog.talosintelligence.com/xlling-in-excel-malicious-add-ins/
- https://thehackernews.com/2022/12/apt-hackers-turn-to-malicious-excel-add.html