Microsoft planea agregar una función a Office Excel que dificultará que los atacantes cibernéticos exploten la función de «complementos» de la aplicación de hoja de cálculo para ejecutar código malicioso en la computadora de la víctima.
Y si bien es un desarrollo bienvenido, la contramedida de Microsoft es solo la última vuelta en el juego del gato y el ratón entre los principales fabricantes de software y los atacantes cibernéticos, dicen los investigadores.
Microsoft apunta a los XLL
En una actualización a su hoja de ruta de Microsoft 365 la semana pasada, la compañía afirmó que actualmente está «implementando medidas para bloquear XLL [add-in files] proveniente de Net», con el objetivo de tener la característica disponible en standard en algún momento de marzo.
Los archivos de complemento de Excel se designan con la extensión de archivo XLL. Proporcionan una forma de utilizar herramientas y funciones de terceros en Microsoft Excel que no forman parte nativa del software package son similares a las bibliotecas de vínculos dinámicos (DLL) pero con características específicas para las hojas de cálculo de Excel. Para los atacantes cibernéticos, ofrecen una forma de leer y escribir datos dentro de hojas de cálculo, agregar funciones personalizadas e interactuar con objetos de Excel en todas las plataformas, dijo Vanja Svajcer, investigadora del grupo Talos de Cisco, en un analisis de diciembre.
Y, de hecho, los atacantes comenzaron a experimentar con XLL en 2017, con un uso más generalizado después de que la técnica se convirtiera en parte de marcos de malware comunes, como Dridex. La funcionalidad del complemento se ha vuelto cada vez más common entre los atacantes desde entonces de hecho, según HP Wolf Protection informe desde principios de 2022, el uso de archivos XLL aumentó casi un 600 % en 2021.
Una de las razones es que Microsoft Office environment no bloquea la función, sino que abre un cuadro de diálogo, un enfoque común que Microsoft ha adoptado en el pasado, Svajcer escribió: «Antes de que se cargue un archivo XLL, Excel muestra una advertencia sobre el posibilidad de que se incluya código malicioso. Desafortunadamente, esta técnica de protección suele ser ineficaz como protección contra el código malicioso, ya que muchos usuarios tienden a ignorar la advertencia».
Eso podría ser un problema incluso después de que se implemente el bloqueo, dice Mike Parkin, ingeniero técnico senior de Vulcan Cyber, a Dim Reading through.
«Desafortunadamente, en este momento no está claro si solo será una advertencia de que los usuarios pueden hacer clic fácilmente, una configuración más proactiva de ‘desactivación predeterminada’ o si la desactivarán por completo para los archivos XLL descargados de Web». «, señala.
¿Mantenerse por delante de los ciberatacantes?
Durante más de dos décadas, las empresas de seguridad cibernética han tratado de eliminar las vías potenciales para los scripts maliciosos en los tipos de archivos comunes, como los formatos de Business o los archivos PDF, pero los atacantes siempre se han adaptado.
Por ejemplo, las macros de Visible Standard para aplicaciones (VBA) y Excel 4. se volvieron tan populares durante los últimos cinco años para la entrega de malware que Microsoft bloqueó las macros de Office environment de forma predeterminada en el verano de 2022, impidiendo que se ejecuten cuando se les ha asignado una marca. de la etiqueta Internet (MotW), que indica que el documento procede de World wide web.
Después de esa decisión, los actores de amenazas comenzaron a incorporar archivos Shell Link (LNK) como cargas útiles para varias familias de malware, y su uso alcanzó su punto máximo en octubre con un aumento en el uso por parte de los operadores detrás de Qakbot, según un análisis esta semana por investigadores del grupo de inteligencia Talos de Cisco.
Y los archivos LNK no son el único tipo de archivo que se está convirtiendo en una forma más popular de ocultar código malicioso a raíz del bloqueo de macros. En el tercer trimestre de 2022, por ejemplo, los archivos zip y los archivos HTML se convirtieron en los tipos de archivo más comunes para la entrega de malware, con el 44 % de los archivos de malware ocultos en los archivos, según el tercer trimestre.Informe de información sobre amenazas de seguridad de HP Wolf».
Incluso si estos enfoques alternativos no son tan eficientes o poderosos, los atacantes tendrán que adoptarlos para continuar comprometiendo con éxito los sistemas de las víctimas, porque las empresas están fortaleciendo sus productos contra técnicas de ataque más comunes, Dave Storie, ingeniero de colaboración adversaria en la firma de servicios de seguridad cibernética. Lares Consulting, en un comunicado enviado a Dark Reading.
“Cuando organizaciones como Microsoft reducen la superficie de ataque o aumentan el esfuerzo requerido para ejecutar un ataque en sus ofertas de productos, obliga a los actores de amenazas a explorar vías alternativas”, dijo. «Esto a menudo lleva a explorar opciones previamente conocidas, quizás menos ideales, para que los actores de amenazas logren sus objetivos».
