Excel: Angriff über DDE-Schnittstelle ermöglicht Installation von Malware

Das Feature Power Query in Microsoft Excel erlaubt Angreifern Angriffe Über den dynamischen Datenaustausch (Dynamic Data Exchange, DDE). Gefährlich kann das insbesondere deshalb sein, weil eine solche Attacke nur wenig Interaktion des Nutzers bedingt. Dieses Einfallstor haben Sicherheitsforscher von Mimecast entdeckt und mit einem Exploit als Proof-of-Concept demonstriert.

Das vielseitige Tool Power Query ist in aktuellen Versionen von Excel enthalten und für ältere Versionen als Add-in verfügbar. Dank diesem Feature kann Excel Dateien von entfernten Quellen importieren, etwa einer externen Datenbank, einem Textdokument, einer anderen Tabellenkalkulation oder einer Webseite. Seine Funktionsweise lässt sich aber auch ausnutzen, um bösartigen Code in das System des Opfers einzuschleusen.

Das kann mit präparierten Excel-Dokumenten geschehen, die Power Query einsetzen, um Daten vom entfernten Server eines Angreifers zu importieren. Den Sicherheitsforschern gelang damit auch die Umgehung von Sandboxen, die zur Sicherheit per E-Mail versandte Dokumente analysieren, bevor Nutzer sie herunterladen und öffnen können.

„Power Query könnte auch für raffinierte, schwer erkennbare Attacken eingesetzt werden, die mehrere Angriffsflächen kombinieren“, schreibt Sicherheitsforscher Ofir Shlomo vom Mimecast Threat Center . „Mit Power Query könnten Angreifer bösartigen Inhalt in eine separate Datenquelle einbetten und dann den Inhalt in das Tabellenblatt laden, wenn es geöffnet wird. Der bösartige Code könnte genutzt werden, um Malware zu platzieren und auszuführen, die den Rechner des Nutzers kompromittiert.“

Da dafür der dynamische Datenaustausch DDE erforderlich ist, muss der Nutzer das eigentlich mit einem Doppelklick in die jeweilige Zelle und einem weiteren Klick erlauben. Aber selbst auf diese Interaktion sind Angreifer nicht mehr angewiesen, wenn sie das bösartige Dokument in einer älteren Version von Microsoft Office präparieren – und schon steht einer automatischen Ausführung nichts mehr im Weg. Die Sicherheitsforscher stießen außerdem auf Methoden, um eine Erkennung durch gängige Antiviruslösungen zu umgehen.

Schon im Dezember 2017 sperrte Microsoft das DDE-Protokoll in Word, nachdem es von mehreren Malwarekampagnen genutzt wurde. In Excel blieb der dynamische Datenaustausch jedoch erhalten, vielleicht weil hier die Bedrohung geringer erschien. Das scheint Microsoft noch immer so zu sehen und plant keinen Patch wie bei Word. Das Microsoft Security Response Center (MRSC) verwies stattdessen auf das Security Advisory 4053440 mit Workarounds, um eine Gefährdung auszuschließen.

ZDNet.de Redaktion

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

7 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

11 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

12 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

12 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

13 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

15 Stunden ago