Microsoft ha bloccato l’esecuzione automatica delle macro VBA a fine luglio 2022. L’azienda di Redmond ha pianificato di bloccare anche gli add-in XLL in Excel a partire dal mese di marzo. La novità relativa alla sicurezza è stata aggiunta alla roadmap di Microsoft 365.
Blocco dei file XLL scaricati da Internet
I file XLL sono DLL specifiche per Excel, scritte in C o C++, che aggiungono funzionalità all’applicazione. Molti cybercriminali sfruttano questi add-in per distribuire malware, come avviene con le macro. Infatti Microsoft scrive che implementerà misure per bloccare gli add-in provenienti da Internet con l’obiettivo di combattere il numero crescente di attacchi rilevati negli ultimi mesi.
I file XLL infetti, allegati alle email o pubblicati sui siti, vengono utilizzati durante le campagne di phishing. Le ignare vittime non prestano molta attenzione (spesso la fonte sembra affidabile) e aprono il file. Excel mostra un avviso di sicurezza, in quanto gli add-in fasulli non sono firmati, ma molti utenti ignorano il pericolo e attivano l’add-in.
Diversi ricercatori di sicurezza evidenziano che i file XLL sono sfruttati come primo stadio dell’infezione attraverso l’installazione di una backdoor. Successivamente vengono eseguite altre azioni, tra cui il furto di informazioni sensibili (solitamente i bersagli principali sono aziende).
Il blocco da parte di Microsoft rappresenta quindi una misura molto importante. In ogni caso è sempre consigliata l’installazione di un antivirus che blocca gli allegati infetti e l’accesso ai siti di phishing.