Schwachstelle in Microsoft Excel
27. Juni 2019
Eine aktuelle Sicherheitslücke in Microsofts Tabellenkalkulation „Excel“ ermöglich es potentiellen Angreifern, unbemerkt die Systeme der Anwender zu infiltrieren. Dabei hinterlassen die Angreifer keine Spuren, verteilen aber entsprechende Schadsoftware auf den Systemen. Gängige Sandbox- und Anti-Virus-Mechanismen sind nicht in der Lage den Angriff zu entdecken.
Power Query ist eigentlich ein Business Intelligence (BI)-Tool, mit dem Benutzer ihre Tabellenkalkulationen mit anderen Datenquellen integrieren können – wie beispielsweise einer externen Datenbank, einem Textdokument, einer anderen Tabellenkalkulation oder einer Webseite. Wenn Quellen verknüpft sind, können die Daten geladen und in der Kalkulationstabelle gespeichert oder dynamisch ausgetauscht werden (zum Beispiel beim Öffnen des Dokuments).
Das Mimecast Threat Center zeigt in einem Blogpost, wie man die Power Query-Funktion in Microsoft Excel nutzen kann, um über einen Remote Dynamic Data Exchange (DDE) Schadcode auszuführen. Mit Power Query können Angreifer bösartige Inhalte in eine separate Datenquelle einbetten und beim Öffnen in die Tabellenkalkulation laden.
Mimecast informierte Microsoft schon vor einiger Zeit und es wurde gemeinsam eine Coordinated Vulnerability Disclosure erstellt. Allerdings stellt Microsoft keinen Fix für die Schwachstelle bereit, sodass Nutzer aktuell in Gefahr sind. Stattdessen wird auf einen Workaround (4053440) verwiesen, der Schritte und Verfahren zur Bereitstellung von Informationen über Sicherheitseinstellungen für Microsoft Office-Anwendungen beschreibt.
Den Forschern gelang es Schutzvorkehrungen zu umgehen, da als Quelle eine sichere Adresse wie www.google.com angegeben wurde, die dann aber nach der Sicherheitsprüfung gegen eine „verseuchte URL“ ausgetauscht wird. Kern der Schwachstelle ist der fehlende Abgleich mit der ursprünglichen Adresse und dem tatsächlich geladenen Inhalt.
Weitere Details sind hier zu finden.
