0
0
A Microsoft planeja adicionar um recurso ao Office Excel que tornará mais difícil para ciberataques explorar a função “suplementos” do aplicativo de planilha para executar código malicioso no computador da vítima.
E embora seja um desenvolvimento bem-vindo, a contra-medida da Microsoft é apenas a mais recente reviravolta no jogo de gato e rato que está acontecendo entre os principais fabricantes de software e os ciberataques, dizem os pesquisadores.
Microsoft aponta para XLLs
Em uma atualização do roteiro do Microsoft 365 na semana passada, a empresa afirmou que está atualmente “implementando medidas para bloquear XLL [arquivos de suplemento] vindos da Internet”, com o objetivo de ter o recurso em disponibilidade geral em março. .
Os arquivos de suplemento do Excel são designados com a extensão de arquivo XLL. Eles fornecem uma maneira de usar ferramentas e funções de terceiros no Microsoft Excel que não são parte nativa do software; eles são semelhantes às bibliotecas de vínculo dinâmico (DLLs), mas com recursos específicos para planilhas do Excel. Para ciberataques, eles oferecem uma maneira de ler e gravar dados em planilhas, adicionar funções personalizadas e interagir com objetos do Excel em várias plataformas, disse Vanja Svajcer, pesquisadora do grupo Talos da Cisco, em uma análise de dezembro .
E, de fato, os invasores começaram a experimentar XLLs em 2017, com uso mais difundido depois que a técnica se tornou parte de estruturas comuns de malware, como Dridex. A funcionalidade do suplemento tornou-se cada vez mais popular entre os invasores desde então; na verdade, de acordo com um relatório da HP Wolf Security do início de 2022, o uso de arquivos XLL aumentou quase 600% em 2021.
Uma das razões para isso é porque o Microsoft Office não bloqueia o recurso, mas abre uma caixa de diálogo, uma abordagem comum que a Microsoft adotou no passado, Svajcer escreveu: “Antes de um arquivo XLL ser carregado, o Excel exibe um aviso sobre o possibilidade de inclusão de código malicioso. Infelizmente, essa técnica de proteção costuma ser ineficaz como proteção contra o código malicioso, pois muitos usuários tendem a desconsiderar o aviso.”
Isso pode ser um problema mesmo após o bloqueio estar em vigor, disse Mike Parkin, engenheiro técnico sênior da Vulcan Cyber, a Dark Reading.
“Infelizmente, não está claro neste momento se será apenas um aviso de que os usuários podem clicar facilmente, uma configuração mais proativa de ‘desligar por padrão’ ou se eles vão desativá-lo totalmente para arquivos XLL baixados da Internet, ” ele observa.
Ficar à frente dos ciberataques?
Por mais de duas décadas, as empresas de segurança cibernética tentaram eliminar possíveis caminhos para scripts maliciosos em tipos de arquivos comuns – como formatos do Office ou arquivos PDF – mas os invasores sempre se adaptaram .
Por exemplo, as macros Visual Basic for Applications (VBA) e Excel 4.0 se tornaram tão populares nos últimos cinco anos para a entrega de malware que a Microsoft bloqueou as macros do Office por padrão no verão de 2022, impedindo a execução de macros quando receberam uma marca da tag Web (MotW) , que indica que o documento veio da Internet.
Após essa decisão, os agentes de ameaças começaram a incorporar arquivos Shell Link (LNK) como cargas úteis para várias famílias de malware, com seu pico de uso em outubro com um pico de uso pelos operadores por trás do Qakbot, de acordo com uma análise desta semana por pesquisadores da Cisco Grupo de inteligência Talos.
E os arquivos LNK não são o único tipo de arquivo que está se tornando uma maneira mais popular de ocultar códigos maliciosos após o bloqueio de macros. No terceiro trimestre de 2022, por exemplo, arquivos zip e arquivos HTML tornaram-se os tipos de arquivo mais comuns para distribuição de malware, com 44% dos arquivos de malware ocultos em arquivos, de acordo com o ” Relatório HP Wolf Security Threat Insights” do terceiro trimestre.
Mesmo que essas abordagens alternativas não sejam tão eficientes ou poderosas, os invasores terão que adotá-las para continuar a comprometer com sucesso os sistemas das vítimas, porque as empresas estão fortalecendo seus produtos contra técnicas de ataque mais comuns, Dave Storie, engenheiro de colaboração contra adversários da empresa de serviços de segurança cibernética Lares Consulting, afirmou em comunicado enviado à Dark Reading.
“Quando organizações como a Microsoft reduzem a superfície de ataque ou aumentam o esforço necessário para executar um ataque em suas ofertas de produtos, isso força os agentes de ameaças a explorar caminhos alternativos”, disse ele. “Isso geralmente leva à exploração de opções previamente conhecidas, talvez menos ideais, para que os agentes de ameaças alcancem seus objetivos”.
FONTE: DARK READING