Microsoft verbessert Schutz vor schädlichen Excel-Makros

Stefan Beiersmann,
Excel (Bild: Microsoft)

Die vorhandene Sicherheitsfunktion AMSI unterstützt nun auch die Erkennung von XLM-Makros. Cyberkriminelle wenden sich vermehrt XLM zu, da VBA-Makros seit Jahren effektiv von Microsoft blockiert werden.

Microsoft hat eine Sicherheitsfunktion überarbeitet, die Nutzer vor schädlichen Excel-Makros schützen soll. Das Antimalware Scan Interface (AMSI) ist zwar schon seit Jahren in der Lage, Makro-Skripte zu blockieren, bisher allerdings nur, wenn sie in Visual Basic for Applications (VBA) geschrieben wurden. Neu ist nun der Support für XLM-Makros.

Marko-basierte Schadsoftware ist seit vielen Jahren bei Cyberkriminellen und Hackern beliebt. Um diese einzudämmen, integrierte Microsoft schon vor Jahren das AMSI in Office 365. Da die die Nutzung von VBA-Makros stark einschränkte, wechselten Hacker zur älteren Makrosprache XLM, die 1992 mit Excel 4.0 eingeführt wurde.

AMSI erlaubt es Anwendungen, mit einer beliebigen Antivirensoftware auf einem Windows-Rechner zu kommunizieren, um gefährliche Skripte in Office-Dokumenten zu erkennen und aufzuhalten. XLM wiederum wurde eigentlich 1993 von VBA abgelöst, einige Kunden setzen den Vorgänger allerdings immer noch ein, weswegen XLM weiterhin von Excel unterstützt wird.

“XLM ist zwar rudimentärer als VBA, aber leistungsfähig genug, um eine Interoperabilität mit dem Betriebssystem zu gewährleisten, und viele Unternehmen und Benutzer nutzen seine Funktionalität weiterhin für legitime Zwecke. Cyberkriminelle wissen das, und sie missbrauchen XLM-Makros immer häufiger, um Win32-APIs aufzurufen und Shell-Befehle auszuführen”, erläuterte Microsofts Sicherheitsteam.

Die Einführung der VBA-Runtime in AMSI im Jahr 2018 habe Schadsoftware effektiv die Möglichkeit genommen, sich in Makros zu verstecken. “Natürlich haben Bedrohungsakteure wie diejenigen, die hinter Trickbot, Zloader und Ursnif stecken, woanders nach Funktionen gesucht, um sie zu missbrauchen und unter dem Radar von Sicherheitslösungen zu operieren, und sie haben in XLM eine geeignete Alternative gefunden”, so Microsoft weiter.

Erkennt eine Sicherheitslösung mithilfe von AMSI nun ein schädliches XLM-Makro, wird es nicht ausgeführt und Excel beendet, was wiederum einen möglichen Angriff blockiert. Die neue Sicherheitsfunktion ist ab sofort für Excel verfügbar und ab Werk auch für Abonnenten von Microsoft 365 (Current Channel und Monthly Enterprise Channel) aktiv.