Kampf der Excel-Schadsoftware: AMSI gegen verseuchten XLM-Code

Microsoft erweitert das Antimalware Scan Interface (AMSI) in Office 365. Der Antivirusdienst AMSI soll fortan durch Laufzeitüberprüfung von Excel-4.0-Makros bösartige XLM-Skripte erkennen können. Angreifer verwenden derartige Schadsoftware immer häufiger, prominent wurden die Risiken verseuchter Office-Makros zuletzt im Kontext von Emotet diskutiert.

Auch wenn Microsoft mittlerweile die Nutzung von Visual Basic für Applikationen (VBA) empfiehlt, unterstützt Excel aufgrund ihrer weiten Verbreitung XLM-Makros weiterhin. Angreifer sind sich dessen bewusst und nutzen die inzwischen technisch veraltete Sprache um WIN32-APIs aufzurufen und Shell-Befehle auszuführen. Schadcode kann in XLM vergleichsweise einfach verschleiert werden. Nähere Informationen zum neuen Scan-Ansatz finden sich in Microsofts Blogbeitrag.

Bereits seit 2018 scannt AMSI VBA-Makros. Kriminelle gehen seitdem vermehrt den Weg über XLM-Makros. Microsoft unternimmt nun den Versuch, auch diese Lücke zu schließen. Das Antivirus-System soll nun bösartige XLM-Makros erkennen können, deren Ausführung stoppen und Excel gänzlich beenden, um eine mögliche Attacke abzuwehren. Die Runtime-Inspektion der XLM-Makros ist ab sofort Teil von Excel, Microsoft fordert zudem die Programmierer anderer Antivirus-Produkte auf, das offene AMSI zu nutzen.

(jvo)