Microsoft Office 365 obtient une protection contre les macros XLM malveillantes

0

Microsoft a ajouté une protection de macro XLM pour les clients de Microsoft Office 365 en élargissant la défense de temps d’exécution fournie par l’intégration d’Office 365 avec Antimalware Scan Interface (AMSI) pour inclure le scan des macros Excel 4.0 (XLM).

AMSI a été introduit en 2015, et il a été adopté par tous les principaux produits antivirus disponibles pour la plate-forme Windows 10 depuis lors.

Il permet aux services et applications Windows 10 de communiquer avec les produits de sécurité et de demander des analyses de temps d’exécution de données potentiellement dangereuses.

Cela permet d’exposer les intentions malveillantes, même lorsqu’elles sont cachées à l’aide d’obscurcissement lourd et de détecter et de bloquer les logiciels malveillants abusant des macros Office VBA ainsi que de PowerShell, JScript, VBScript, MSHTA/Jscript9, WMI, ou .NET. Les pirates utilisent régulièrement des macros de documents Office pour déployer des charges utiles.

Microsoft a d’abord étendu le support de son interface de numérisation Antimalware (AMSI) aux applications clientes Office 365 en 2018 pour défendre ses clients contre les attaques utilisant des macros VBA.

« La récente instrumentation d’AMSI dans XLM s’attaque directement à la montée des campagnes de logiciels malveillants qui abusent de cette fonctionnalité », a déclaré Microsoft.

« Parce qu’AMSI est une interface ouverte, d’autres solutions antivirus peuvent tirer parti de la même visibilité pour améliorer les protections contre les menaces. »

microsoft office 365 xlm

Depuis qu’AMSI a commencé à autoriser les applications Office 365 à bloquer les macros VBA malveillantes, les attaquants tels que ceux derrière Trickbot, Zloader et Ursnif ont migré vers l’utilisation de logiciels malveillants basés sur XLM pour échapper à l’analyse statique et infecter leurs cibles avec des logiciels malveillants.

« Bien que plus rudimentaire que VBA, XLM est assez puissant pour fournir l’interopérabilité avec le système d’exploitation, et de nombreuses organisations et utilisateurs continuent d’utiliser ses fonctionnalités à des fins légitimes », a déclaré Microsoft.

« Les cybercriminels le savent, et ils abusent des macros XLM, de plus en plus fréquemment, pour appeler les API Win32 et exécuter des commandes shell. »

Avec cette dernière amélioration d’Office 365, les solutions antivirus comme Microsoft Defender Antivirus peuvent détecter les macros XLM malveillantes et bloquer les logiciels malveillants.

Il leur permet également de détecter un plus large éventail de logiciels malveillants et de forcer des restrictions sur ce que les macros sont autorisés à faire au moment de l’exécution.

« La visibilité fournie par AMSI conduit à des améliorations significatives dans les signatures génériques et résilientes qui peuvent arrêter les vagues de variantes masquées et modifiées», a ajouté Microsoft.

« Les administrateurs peuvent désormais utiliser le contrôle de stratégie des applications Microsoft 365 existant pour configurer lorsque les macros XLM et VBA sont scannées lors de l’exécution en utilisant AMSI. »

Les administrateurs peuvent télécharger les derniers fichiers de modèle de stratégie de groupe pour Microsoft 365 Apps à partir du centre de téléchargement de Microsoft Office 365.

Si cet article vous a plu, jetez un œil à notre article précédent.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.