Das Feature Power Query in Microsoft Excel erlaubt Angreifern Angriffe Über den dynamischen Datenaustausch (Dynamic Data Exchange, DDE). Gefährlich kann das insbesondere deshalb sein, weil eine solche Attacke nur wenig Interaktion des Nutzers bedingt. Dieses Einfallstor haben Sicherheitsforscher von Mimecast entdeckt und mit einem Exploit als Proof-of-Concept demonstriert.
Das vielseitige Tool Power Query ist in aktuellen Versionen von Excel enthalten und für ältere Versionen als Add-in verfügbar. Dank diesem Feature kann Excel Dateien von entfernten Quellen importieren, etwa einer externen Datenbank, einem Textdokument, einer anderen Tabellenkalkulation oder einer Webseite. Seine Funktionsweise lässt sich aber auch ausnutzen, um bösartigen Code in das System des Opfers einzuschleusen.
Das kann mit präparierten Excel-Dokumenten geschehen, die Power Query einsetzen, um Daten vom entfernten Server eines Angreifers zu importieren. Den Sicherheitsforschern gelang damit auch die Umgehung von Sandboxen, die zur Sicherheit per E-Mail versandte Dokumente analysieren, bevor Nutzer sie herunterladen und öffnen können.
„Power Query könnte auch für raffinierte, schwer erkennbare Attacken eingesetzt werden, die mehrere Angriffsflächen kombinieren“, schreibt Sicherheitsforscher Ofir Shlomo vom Mimecast Threat Center . „Mit Power Query könnten Angreifer bösartigen Inhalt in eine separate Datenquelle einbetten und dann den Inhalt in das Tabellenblatt laden, wenn es geöffnet wird. Der bösartige Code könnte genutzt werden, um Malware zu platzieren und auszuführen, die den Rechner des Nutzers kompromittiert.“
Da dafür der dynamische Datenaustausch DDE erforderlich ist, muss der Nutzer das eigentlich mit einem Doppelklick in die jeweilige Zelle und einem weiteren Klick erlauben. Aber selbst auf diese Interaktion sind Angreifer nicht mehr angewiesen, wenn sie das bösartige Dokument in einer älteren Version von Microsoft Office präparieren – und schon steht einer automatischen Ausführung nichts mehr im Weg. Die Sicherheitsforscher stießen außerdem auf Methoden, um eine Erkennung durch gängige Antiviruslösungen zu umgehen.
Schon im Dezember 2017 sperrte Microsoft das DDE-Protokoll in Word, nachdem es von mehreren Malwarekampagnen genutzt wurde. In Excel blieb der dynamische Datenaustausch jedoch erhalten, vielleicht weil hier die Bedrohung geringer erschien. Das scheint Microsoft noch immer so zu sehen und plant keinen Patch wie bei Word. Das Microsoft Security Response Center (MRSC) verwies stattdessen auf das Security Advisory 4053440 mit Workarounds, um eine Gefährdung auszuschließen.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…