Microsoft étend les capacités de l’interface d’analyse antimalware (AMSI) dans Office 365 pour mieux contrecarrer les attaques de macros. La suite de productivité peut désormais analyser les macros Excel 4.0 XLM pendant l’exécution.
Les logiciels malveillants de macro sont l’une des plus anciennes méthodes de cybercriminalité, du moins parmi celles qui sont encore utilisées aujourd’hui. Les acteurs de la menace se tournent vers les macros depuis les années 90 et obtiennent toujours un certain succès. C’est parce qu’il s’agit d’une technique simple pour pousser des logiciels malveillants sur un système.
Pas plus tard que l’année dernière, au cours des premiers mois de la pandémie de COVID-19, Microsoft a déclaré que les clients recevaient des macro-e-mails. Plus précisément, les e-mails contenant des pièces jointes Microsoft Excel contenant des macros malveillantes.
Publicité
Microsoft protège depuis longtemps ses services contre les macro-menaces. Cela implique une intégration entre Office 365 et l’interface d’analyse antimalware (AMSI) de l’entreprise. Cependant, la plupart de ces efforts se sont concentrés sur la suppression de macros plus modernes dans Visual Basic pour Applications (VBA).
Mise à jour AMSI
Toujours ingénieux, les hackers ont simplement inversé les anciens langages de macro… XLM. C’était un langage livré avec Excel 4.0 en 1992. VBA est arrivé en 1993, mais XLM reste un langage reconnu. Microsoft autorise désormais ASMI à s’attaquer également au contenu XLM.
« Bien que plus rudimentaire que VBA, XLM est suffisamment puissant pour assurer l’interopérabilité avec le système d’exploitation, et de nombreuses organisations et utilisateurs continuent d’utiliser ses fonctionnalités à des fins légitimes. Les cybercriminels le savent, et ils abusent des macros XLM, de plus en plus fréquemment, pour appeler les API Win32 et exécuter des commandes shell », dit l’équipe de sécurité de Microsoft.
« Naturellement, les acteurs de la menace comme ceux derrière Trickbot, Zloader et Ursnif ont cherché ailleurs des fonctionnalités à abuser et à opérer sous le radar des solutions de sécurité, et ils ont trouvé une alternative appropriée dans XLM », ça continue.
Conseil du jour:
Saviez-vous que le Gestionnaire des tâches de Windows 10 vous permet de définir l’affinité du processeur pour récupérer certaines ressources des applications en cours d’exécution et donner aux applications sélectionnées une priorité plus élevée. Notre tutoriel montre comment vous pouvez utiliser cette fonctionnalité utile.
Publicité
