Microsoft hat eine neue Sicherheitsmaßnahme für Excel gestartet. In der Tabellenkalkulation werden jetzt standardmäßig alle nicht vertrauenswürdigen XLL-Add-Ins automatisch blockiert. Das gilt weltweit, Nutzer bekommen zudem eine Warnung angezeigt.

Ende März sollen alle Nutzer versorgt sein

Was sind XLL-Add-Ins?

Zusammenfassung Microsoft blockiert XLL-Add-Ins von nicht vertrauenswürdigen Standorten standardmäßig in Excel.

Nutzer erhalten Warnungen, wenn sie Inhalte von nicht vertrauenswürdigen Standorten aktivieren.

Rollout der XLL-Blockierung startet Anfang März und soll bis Ende März abgeschlossen sein.

XLL-Dateien sind Dynamic-Link-Bibliotheken, die Excel erweitern.

Angreifer nutzten XLLs in Phishing-Kampagnen, um Malware zu installieren.

Microsoft hat in den letzten Jahren verschiedene Office-Infektionsvektoren entfernt.

Microsoft hat die Unterstützung für AMSI auf Office 365-Apps ausgeweitet.

Das Office-Team hat die Änderung bereits im Januar gestartet. Damals gab es zunächst einmal die Ankündigung in der Microsoft 365-Roadmap und dann fast zeitgleich den Start in die Testphase für Insider."Wir führen eine Standardänderung für Excel-Windows-Desktop-Anwendungen ein, die XLL-Add-ins ausführen: XLL-Add-Ins von nicht vertrauenswürdigen Standorten werden nun standardmäßig blockiert", so Microsoft in einem neuen Beitrag im Microsoft 365 Message Center.Die Blockierung der XLL-Add-Ins wird nun voraussichtlich schon ab Ende März allgemein in Multi-Tenants weltweit verfügbar sein. Derzeit läuft die Verteilung an alle Desktop-Nutzer in den Channels "Current", "Monthly Enterprise" und "Semi-Annual Enterprise"."Wir haben den Rollout für die Insider-Vorschau bereits abgeschlossen. Wir werden Anfang März mit dem Rollout beginnen und erwarten, dass er bis Ende März abgeschlossen ist."In Zukunft wird wenn die XLL-Blockierung standardmäßig aktiviert wird, eine Warnung angezeigt, wenn Nutzer versuchen, Inhalte von nicht vertrauenswürdigen Standorten zu aktivieren. Die Warnung soll über das potenzielle Risiko informieren. Die Änderung ist Teil eines umfassenderen Vorhabens zur Bekämpfung des Anstiegs von Malware-Kampagnen, die in den letzten Jahren verschiedene Office-Dokumentformate als Infektionsvektor missbrauchen. So hatte Microsoft bereits im Jahr 2018 damit begonnen, erste Office-Infektionsvektoren zu entfernen, die häufig genutzt wurden.Unter anderem wurde die Unterstützung für AMSI auf Office 365-Apps ausgeweitet, um Angriffe mit VBA-Makros zu blockieren.Zudem wurden mit Excel 4.0 (XLM)-Makros deaktiviert, ein XLM-Makroschutz hinzugefügt und angekündigt, dass VBA-Office-Makros standardmäßig blockiert werden.Excel-XLL-Dateien sind Dynamic-Link-Bibliotheken (DLLs), die dazu dienen, die Funktionalität von Microsoft Excel um zusätzliche Funktionen wie benutzerdefinierte Funktionen, Dialogfelder und Symbolleisten zu erweitern. Angreifer machen sich XLL-Add-Ins jedoch vermehrt in Phishing-Kampagnen zunutze, wobei sie manipulierte Daten über Anhänge verteilen und vorgeben, von bekannten Adressaten wie Geschäftspartnern zu kommen.Bevor Microsoft die XLLs standardmäßig blockierte, konnten Opfer infiziert werden, die die nicht vertrauenswürdigen Add-Ins aktivierten und öffneten. Nach dem Öffnen wurde Malware im Hintergrund installiert, ohne dass der Nutzer etwas tat oder das mitbekam. In den letzten zwei Jahren haben dabei immer mehr Malware-Familien XLLs als Infektionsvektor benutzt.