办公党请注意：微软将在3月开始禁止Excel安装网上的XLL扩展

去年开始有不少黑客集团利用 XLL 扩展文件进行钓鱼，这也引起安全公司的注意，例如 HP Wolf 安全威胁洞察报告就指出使用 Excel 加载项即 XLL 感染系统的攻击增长了六倍，思科安全团队也表示大量高级持续性威胁参与者 (APT) 使用 XLL 作为感染媒介。

多数用户估计都不知道 XLL 文件是个啥东西，办公党应该知道，XLL 是 Excel 扩展或者说加载项使用的文件格式，类似于 Excel 插件。

XLL 基本和 DLL 没有太大区别，问题是当系统已经安装 Office 的情况下，XLL 会被识别为 Excel 图标。

于是可能会有用户认为 XLL 可以直接使用 Excel 打开，这就是黑客的目的所在。当用户打开 XLL 文件时系统会弹出警告，一旦用户点击启用按钮这个扩展就会被激活。

当然如果 XLL 包含恶意代码那恶意代码也会被激活，PAN 的 Unit42 团队称使用 XLL 在目标机器上获得初步落脚点是个合理选择。

不过正常情况下 XLL 文件不太可能作为作为电子邮件附件发送，在大企业里这类扩展通常也是管理员批量部署。

既然如此微软决定直接封掉这些不正常的安全路径，微软在 Microsoft 365 线路图中称，到 2023 年 3 月，微软将阻止来自互联网的 XLL 加载项，通过电子邮件发送的 XLL 文件也属于来自互联网，这类将会被默认禁止。

而且是能接收 Office 更新的所有通道都会陆续启用这项变更，这对企业内部使用来说没什么影响，普通用户确实想安装右键点击文件解除限制就行。

封掉这种传播途径应该可以大幅度降低通过 XLL 钓鱼的攻击，到时候启用后安全公司统计下数据应该就能看到变化。