Sicherheitsforscher der Firma Mimecast Threat Center haben vor Kurzem Sicherheitslücken in Microsoft Office Excel entdeckt. Angreifer haben dadurch die Möglichkeit, Malware-Angriffe per Fernzugriff auszulösen. Ein von den Mimecast-Forschern entwickelter Proof-of-Concept-Code beweist diese Angriffsmöglichkeit, die einen DDE-Angriff auslöst.

Das Problem dabei ist, dass es gar keine Sicherheitslücke als solches ist, sondern eine legitime Excel-Funktion, genannt Power-Query Funktion oder auch Abrufen und Transformieren (Excel 2016). Mit dieser Funktion lassen sich Abfragen zu benutzerdefinierten Spalten hinzufügen mithilfe einer Power Query-Formelsprache. Die Funktion kann Daten aus den unterschiedlichsten Datenquellen filtern und Ändern und auch externe Datenquellen oder webbasierte Daten in einer Tabelle einbetten. Das Proof-of-Concept beweist, wie ein Remote Dynamic Data Exchange (DDE)-Angriff in einer Excel-Tabelle gestartet werden kann, um Malware zu übertragen und diese aktiv über Power Query zu steuern. Das Power-Query Tool ist in den neuesten Versionen von Excel enthalten. Für ältere Excel-Versionen wird es als separates Add-In als Download bereitgestellt.

Das Problem dabei ist, so die Forscher, dass derartige Angriffe sind von Sicherheitssoftware schwer zu erkennen, da es eine legitime Tabellenfunktion ist. Auch deshalb hält es Microsoft nicht für nötig, einen Fix zu veröffentlichen. Microsoft empfiehlt hier nur eine Abhilfemaßnahme, die potenzielle Angriffe abwehren kann. Diese wird in einer 2017 Microsoft Advisory zur ordnungsgemäßen Sicherung von Anwendungen bei der Verarbeitung von Dynamic Data Exchange Feldern erläutert. Hierzu würde das Deaktivieren von DDE in verschiedenen Office-Suite-Programme Abhilfe schaffen. Weiter sagte Microsoft:

„Im Januar 2018 wurde ein Sicherheitsupdate für alle unterstützten Versionen von Microsoft Excel veröffentlicht, mit dem Kunden die Funktionalität des DDE-Protokolls einstellen können.“

In neueren Excel-Versionen erscheint eine Dialogbox, die Nutzer auffordert, per OK oder ABBRECHEN zu entscheiden, ob externe Daten abgerufen werden sollen. Gleichzeitig wird die entsprechende URL angezeigt. Nur durch Anklicken von OK können potenzielle Angriffe ausgelöst werden. Benutzer müssen danach per Doppelklick weitere Aktionen freigeben. Dann erst wird der DDE-Angriff gestartet.

Laut den Forschern ist es jedoch in älteren Versionen von Microsoft Excel 2010 anders. Hier wird der Vorgang automatisch ausgeführt und Nutzer nicht zur Interaktion aufgefordert. Der Befehl „Get External Data>>> From Web“ wird beim Öffnen der Excel-Tabelle ohne die Aufforderung „Click to run“ ausgelöst.

Ganz unabhängig davon fanden Microsofts hausinterne Sicherheitsforscher heraus, dass Angreifer aktiv eine andere Excel-Funktion nutzen, um Windows-Rechner zu gefährden. Momentan wären nur koreanische MS-Nutzer betroffen, bestätigt Microsoft. Allerdings seien die betroffenen Makros bereits seit Jahren bekannte Probleme in Excel und Word. Die Makros sind Komponenten, die eine Reihe von Befehlen ausführen können. Folglich können sie auch so programmiert werden, dass sie auch bösartige Anweisungen ausführen können. Eigentlich sind Makros als hilfreiche Automatisierungswerkzeuge gedacht und werden gerne genutzt.

Laut Microsoft können sowohl diese Makros wie auch Power Query über die Office-365-Verwaltungsfunktion „Gruppenrichtlinien“ gesteuert werden. Administratoren können darüber Einstellungen auf allen Geräten ihrer Organisation gleichzeitig anpassen. Was die Mimecast Forscher hierbei allerdings stört, es gilt das Prinzip: Ausschalten, damit du sicher bist.

Artikel von threatpost.com, 27.096.2019: New Microsoft Excel Attack Vector Surfaces
Artikel von wired.com, 27.06.2019: How Hackers Turn Microsoft Excel’s Own Features Against It
Artikel von zdnet.com, 27.06.2019: Microsoft Excel Power Query feature can be abused for malware distribution
Artikel von mimecast.com, 27.06.2019: Exploit Using Microsoft Excel Power Query for Remote DDE Execution Discovered

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0