Microsoft는 해커가 XLL 추가 기능을 사용하여 맬웨어를 배포하지 못하도록 하는 새로운 보안 조치를 도입할 예정입니다. Bleeping Computer에서 발견한 바와 같이 Microsoft는 새로운 기능이 3월에 일반적으로 사용 가능해지면 3월까지 인터넷에서 XLL 추가 기능을 차단하기 시작할 것입니다.

Microsoft에 따르면 새로운 조치를 구현하려는 계획은 최근 몇 달 동안 점점 더 널리 퍼진 맬웨어 공격에 맞서 싸우려는 목표로 귀결되었습니다. Microsoft 365 로드맵에서 회사는 곧 월별 엔터프라이즈 채널, 반기 엔터프라이즈 채널, 일반 가용성, 미리 보기 및 현재 채널에서 Excel 제품의 전 세계 데스크톱 사용자에게 소개될 것이라고 자세히 설명합니다.

이러한 새로운 움직임은 작년에 발간된 HP Wolf Security Threat Insights 보고서를 반영하며 "시스템을 감염시키기 위해 Excel 추가 기능(.XLL)을 사용하는 공격자가 거의 6배나 급증했다"고 강조했습니다. 한편 Cisco Talos는 "현재 상당수의 지능형 지속 위협 공격자와 상용 악성코드군이 XLL을 감염 벡터로 사용하고 있으며 이 숫자는 계속 증가하고 있습니다."라고 말했습니다.

XLL은 Excel 추가 기능의 확장이며 기본적으로 DLL(동적 연결 라이브러리) 파일입니다. 이러한 파일은 일반적으로 관리자가 설치하므로 이메일 첨부 파일로 사용되는 경우는 드뭅니다. 그럼에도 불구하고 XLL 파일 확장자는 다른 Excel 지원 확장자와 유사한 아이콘으로 연결되어 있기 때문에 우둔한 개인은 다른 Excel 파일 형식으로 착각할 수 있습니다. 이것은 그러한 사용자가 그것을 열도록 강요할 것입니다. Excel은 보안 문제에 대한 표준 경고를 표시하지만 "활성화" 버튼을 한 번 클릭하면 추가 기능을 실행할 수 있습니다. 일단 활성화되면 맬웨어 전달이 백그라운드에서 시작되어 해커가 컴퓨터에서 악성 코드를 실행할 수 있습니다.

Palo Alto Networks의 Unit 42는 "...XLL 파일은 피해자 시스템에서 초기 발판을 마련하려는 공격자에게 좋은 선택이 될 수 있습니다."라고 말했습니다. "공격자는 코드를 Excel이 로드하는 DLL로 패키징할 수 있으며, 이는 이 시나리오를 처리할 준비가 되지 않은 보안 제품을 오도할 수 있습니다."

현재 사용자가 XLL에 의해 전달되는 맬웨어로부터 자신을 보호하기 위해 할 수 있는 궁극적인 방법은 파일이 포함된 다운로드 링크, 첨부 파일 또는 이메일을 거절하는 것입니다. 악의적인 사용자가 합법적인 문서처럼 보이도록 파일을 위장할 수 있으므로 알 수 없는 발신자 및 웹사이트(가짜 포함)의 의심스러운 이메일 및 링크에 대해 특히 권장됩니다.

변경 사항이 구현되면 Microsoft 365 사용자는 인터넷을 통해 다운로드되는 XLL 추가 기능을 차단하는 더 나은 보호를 받게 됩니다. 즉, 악성 코드를 배포하기 위해 웹에 의존하는 악의적인 행위자로부터 안전을 의미합니다. 예정된 기능의 일반 가용성은 여전히 변경될 수 있지만 도착하면 Microsoft 고객의 보안이 크게 향상될 것입니다.