zurück zum Artikel

Microsoft baut sein Antimalware Scan Interface (AMSI) aus. Neben VBA- kann es jetzt auch XLM-Code scannen.

Microsoft erweitert das Antimalware Scan Interface (AMSI) in Office 365. Der Antivirusdienst AMSI soll fortan durch Laufzeitüberprüfung von Excel-4.0-Makros bösartige XLM-Skripte erkennen können. Angreifer verwenden derartige Schadsoftware immer häufiger, prominent wurden die Risiken verseuchter Office-Makros zuletzt im Kontext von Emotet diskutiert [1].

Auch wenn Microsoft mittlerweile die Nutzung von Visual Basic für Applikationen (VBA) empfiehlt, unterstützt Excel aufgrund ihrer weiten Verbreitung XLM-Makros weiterhin. Angreifer sind sich dessen bewusst und nutzen die inzwischen technisch veraltete Sprache um WIN32-APIs aufzurufen und Shell-Befehle auszuführen. Schadcode kann in XLM vergleichsweise einfach verschleiert werden. Nähere Informationen zum neuen Scan-Ansatz finden sich in Microsofts Blogbeitrag [2].

Bereits seit 2018 scannt AMSI VBA-Makros. Kriminelle gehen seitdem vermehrt den Weg über XLM-Makros. Microsoft unternimmt nun den Versuch, auch diese Lücke zu schließen. Das Antivirus-System soll nun bösartige XLM-Makros erkennen können, deren Ausführung stoppen und Excel gänzlich beenden, um eine mögliche Attacke abzuwehren. Die Runtime-Inspektion der XLM-Makros ist ab sofort Teil von Excel, Microsoft fordert zudem die Programmierer anderer Antivirus-Produkte auf, das offene AMSI zu nutzen.

[3]

(jvo [4])

URL dieses Artikels:
https://www.heise.de/-5073364

Links in diesem Artikel:
[1] https://www.heise.de/news/Kampf-gegen-Malware-Unbekannte-ersetzen-Emotet-gegen-animierte-Bildchen-4855453.html
[2] https://www.microsoft.com/security/blog/2021/03/03/xlm-amsi-new-runtime-defense-against-excel-4-0-macro-malware/
[3] https://www.heise.de/ix
[4] mailto:jvo@ix.de

Copyright © 2021 Heise Medien