Η εκμετάλλευση των μακροεντολών του Excel υπήρξε μια δημοφιλής μέθοδος για τους χάκερ να θέτουν σε κίνδυνο τα ηλεκτρονικά συστήματα από τη δεκαετία του 1990 και ακόμη και σήμερα είναι μια διαδρομή που χρησιμοποιείται για τη διανομή malware σε χρήστες λιγότερο προσεκτικούς σε θέματα ασφάλειας στον κυβερνοχώρο.
Κατά τη διάρκεια του 2018, η Microsoft λάνσαρε τη λειτουργία Antimalware Scan Interface (AMSI) η οποία, ενσωματωμένη στο Office 365, μπόρεσε να ξεμπλοκάρει αποτελεσματικά τις αποκρυπτογραφήσεις του malware μακροεντολών, καθιστώντας έτσι δυνατή την έκθεση του κώδικα για τον έλεγχο δραστηριοτήτων.
Με αυτόν τον τρόπο ήταν δυνατό να σταματήσει τα κακόβουλα σενάρια μακροεντολών που δημιουργήθηκαν στη Visual Basic for Applications.
Ωστόσο, αυτό οδήγησε τους συγγραφείς απειλών, όπως οι περίφημοι Trickbot, Zloader και Ursnif να αναζητήσουν άλλα χαρακτηριστικά για εκμετάλλευση και βρήκαν μια βιώσιμη εναλλακτική λύση στο XLM. Το XLM είναι μια ακόμη παλαιότερη γλώσσα από το VBA και χρονολογείται από την έκδοση 4.0 του Excel το 1992. Το XLM αντικαταστάθηκε από το VBA το 1993, αλλά εξακολουθεί να υποστηρίζεται στο Excel επειδή έκτοτε έχει χρησιμοποιηθεί από ορισμένους πελάτες.
Αν και το XLM είναι πιο στοιχειώδες από το VBA, είναι αρκετά ισχυρό για να παρέχει διαλειτουργικότητα με το λειτουργικό σύστημα και πολλοί οργανισμοί συνεχίζουν να αξιοποιούν τις δυνατότητές του για νόμιμους σκοπούς. Οι εγκληματίες του κυβερνοχώρου το γνωρίζουν και κάνουν κατάχρηση των μακροεντολών XLM χρησιμοποιώντας τες για να επικαλεστούν API Win32 και να εκτελέσουν εντολές από το κέλυφος “, εξηγεί η Microsoft.
- Η εταιρεία Redmond επεκτείνει τώρα τις δυνατότητες των AMSI και Office 365 ώστε να περιλαμβάνει σάρωση μακροεντολών Excel 4.0 XLM κατά το χρόνο εκτέλεσης. Το AMSI μπορεί να λειτουργήσει σε συνέργεια με οποιοδήποτε πρόγραμμα antivirus που υπάρχει σε έναν υπολογιστή Windows για να του επιτρέψει να εντοπίσει και να αποκλείσει τυχόν κακόβουλα σενάρια που υπάρχουν σε έγγραφα του Office.
Εάν το antivirus εντοπίσει μια κακόβουλη μακροεντολή XLM, η μακροεντολή δεν θα εκτελεστεί και το Excel θα τερματιστεί, αποκλείοντας έτσι την επίθεση. Η Microsoft επισημαίνει ότι το Defender, κατά του κακόβουλου λογισμικού, αξιοποιεί αυτήν την ενσωμάτωση για τον εντοπισμό και τον αποκλεισμό κακόβουλου λογισμικού που βασίζεται σε XLM και ενθαρρύνει άλλους παρόχους λύσεων anti-malware να το υιοθετήσουν. Η δυνατότητα είναι ήδη διαθέσιμη στο Excel και είναι ενεργοποιημένη από προεπιλογή στο τρέχον κανάλι Φεβρουαρίου και το μηνιαίο εταιρικό κανάλι για συνδρομητές του Office 365.
