Microsoft hat eine Sicherheitsfunktion überarbeitet, die Nutzer vor schädlichen Excel-Makros schützen soll. Das Antimalware Scan Interface (AMSI) ist zwar schon seit Jahren in der Lage, Makro-Skripte zu blockieren, bisher allerdings nur, wenn sie in Visual Basic for Applications (VBA) geschrieben wurden. Neu ist nun der Support für XLM-Makros.
Marko-basierte Schadsoftware ist seit vielen Jahren bei Cyberkriminellen und Hackern beliebt. Um diese einzudämmen, integrierte Microsoft schon vor Jahren das AMSI in Office 365. Da die die Nutzung von VBA-Makros stark einschränkte, wechselten Hacker zur älteren Makrosprache XLM, die 1992 mit Excel 4.0 eingeführt wurde.
AMSI erlaubt es Anwendungen, mit einer beliebigen Antivirensoftware auf einem Windows-Rechner zu kommunizieren, um gefährliche Skripte in Office-Dokumenten zu erkennen und aufzuhalten. XLM wiederum wurde eigentlich 1993 von VBA abgelöst, einige Kunden setzen den Vorgänger allerdings immer noch ein, weswegen XLM weiterhin von Excel unterstützt wird.
“XLM ist zwar rudimentärer als VBA, aber leistungsfähig genug, um eine Interoperabilität mit dem Betriebssystem zu gewährleisten, und viele Unternehmen und Benutzer nutzen seine Funktionalität weiterhin für legitime Zwecke. Cyberkriminelle wissen das, und sie missbrauchen XLM-Makros immer häufiger, um Win32-APIs aufzurufen und Shell-Befehle auszuführen”, erläuterte Microsofts Sicherheitsteam.
Die Einführung der VBA-Runtime in AMSI im Jahr 2018 habe Schadsoftware effektiv die Möglichkeit genommen, sich in Makros zu verstecken. “Natürlich haben Bedrohungsakteure wie diejenigen, die hinter Trickbot, Zloader und Ursnif stecken, woanders nach Funktionen gesucht, um sie zu missbrauchen und unter dem Radar von Sicherheitslösungen zu operieren, und sie haben in XLM eine geeignete Alternative gefunden”, so Microsoft weiter.
Erkennt eine Sicherheitslösung mithilfe von AMSI nun ein schädliches XLM-Makro, wird es nicht ausgeführt und Excel beendet, was wiederum einen möglichen Angriff blockiert. Die neue Sicherheitsfunktion ist ab sofort für Excel verfügbar und ab Werk auch für Abonnenten von Microsoft 365 (Current Channel und Monthly Enterprise Channel) aktiv.
Warenhauskette setzt auf die KI-gesteuerten Fähigkeiten zur Bedarfsplanung und Nachversorgung von Blue Yonder.
Technische Hochschule Augsburg (THA) will Hersteller auf die neue EU-Verordnung hinweisen, die Cybersicherheit für vernetzte…
Mit der steigenden Anzahl von Endpunkten, wächst die Komplexität, die mit dem Unternehmensnetzwerken verbundenen Geräte…
Die Kombination aus Blockieren und fundierter Analyse bietet eine resiliente Sicherheitsarchitektur, sagt Andrea Napoli von…
Projekt: Per Tablet ärztliche Expertise hinzuzuziehen, wenn sich der Gesundheitszustand von Pflegepersonen plötzlich verschlechtert.
Sicherheitsforscher von Check Point enthüllen mehrstufige Malware-Kampagnen, die legitime Prozesse zur Tarnung nutzen.
