Sie sind hier:

Microsoft-Sicherheitslücke - Angriff auf die Büro-Software Excel

Datum:

Forscher haben ein neues Sicherheitsleck bei Microsoft Excel entdeckt. Schwächen im Datenaustausch-Protokoll gefährden alle Nutzer der Office-Programme von Microsoft.

Excel
Excel
Quelle: imago

"Betroffen sind potenziell alle User von Microsoft Office weltweit", urteilt Meni Farjon, Chef-Wissenschaftler beim Softwareunternehmen Mimecast, über den von seinem Team entdeckten und nachgebauten Angriff auf die Tabellenkalkulation Excel. Die Sicherheitsspezialisten von Mimecast haben Schadsoftware von einer Webseite in eine fremde Tabellenkalkulation geladen und direkt ausgeführt. So können Computer übernommen, Festplatten gelöscht oder Daten verändert werden.

Fehler im Datenaustausch-Protokoll

Ausgenutzt haben die Sicherheitsforscher dafür das Datenaustausch-Protokoll Dynamic Data Exchange und das Analysewerkzeug Power Query. "Mit Power Query können weitere Daten sehr einfach in die Tabellenkalkulation integriert werden", erläutert Meni Farjon. Power Query sorgt dafür, dass Daten aus fremden Datenbanken, Texte oder andere Tabellen in die eigene Berechnung von Tabellenkalkulationen einfließen. Unternehmen nutzen das gerne.

Und auch das Datenaustausch-Protokoll "Dynamic Data Exchange" ist eine nützliche Sache. Outlook kann damit zum Beispiel Kalendereinträge aktualisieren. Die Tabellenkalkulation Excel kann auf diese Weise weitere Datenquellen unproblematisch einbinden. Genau dieses Protokoll wird aber gegenwärtig zu einem häufig genutzten Einfallstor von Angreifern.

Sicherheitsprogramme ausgetrickst

Die Schadsoftware, die mittels des Analysewerkzeuges Power Query in die Tabellenkalkulation geladen wurde, konnte an Anti-Virus-Programmen und gesicherten Untersuchungsumgebungen wie Sandboxes vorbeigeschleust werden. Die Anti-Virus-Software haben die Forscher überlistet, weil sie die Kopfdaten in den Datenpäckchen manipulierten, die zur Tabellenkalkulation geschickt wurden. Sicherheitsmechanismen wie Sandboxes wurde durch einen Trick beim Aktualisieren der Daten regelrecht ausgeschaltet.

Die Daten in der heruntergeladenen Datei werden aktualisiert, während die Datei geöffnet ist. "Wir haben dann festgelegt, dass die Datei jede Minute aktualisiert wird und die Schadsoftware bei der zehnten Abfrage ausgeliefert wird", erklärt Meni Farijon. Das bedeutet, dass auch bei einer abgeschirmten Softwareprüfung, die in Sandboxes genannten eigens gesicherten Speicherbereichen auf dem Rechner durchgeführt wird, die Schadsoftware nicht erkannt werden kann. "Vorausgesetzt, die Sandbox führt die Dateiprüfung in weniger als zehn Minuten durch", meint Meni Farjon. Und das ist ein gängiger Standardwert.

Die Sandbox erhält für ihre Prüfung eine Datei ohne Schadsoftware. Erst bei der zehnten Aktualisierung der Datei wird die Schadsoftware auf den Rechner geladen. Ist ein Schadcode dort erst einmal platziert, können die Daten auf dem Rechner, beliebig manipuliert oder gelöscht werden.

Firmenrechner sind ein beliebtes Objekt

Der Rechner kann auch vollkommen übernommen werden. Ebenso kann von solch einer Schadsoftware, die direkt in ein Datenfeld der Tabellenkalkulation eingegeben wird, weitere Schadsoftware heruntergeladen werden, zum Beispiel ein Verschlüsselungstrojaner. Angriffe mit dem Datenaustausch-Protokoll von Microsoft sind so neu nicht. Bereits in der Vergangenheit ist das "Dynamic Data Exchange" schon missbraucht worden, um Schadsoftware in Microsofts Outlook zu schmuggeln.

Dabei werden Mails und Kalendereinträge im Rich Text Format mit Schadcode gespickt. Weil der Schadcode in den Nachrichtentext oder in den Text des Kalendereintrags integriert wurde, kommt er bei jeder Aktualisierung des Postfachs oder des Kalenders auf das System. Die von Mimecast nun mit Excel vorgestellte Variante schaltet zudem die gängigen Sicherheitsmechanismen aus. Deshalb ist sie noch gefährlicher als die bereits bekannt gewordenen Angriffe, die die Sicherheitslücke in Microsofts Dynamic Data Exchange ausgenutzt haben.

Sicherheitslücke nicht beseitigt

Microsoft ist von Mimecast bereits vor einigen Wochen über die neue Angriffsstrategie auf das Datenaustauschprotokoll informiert worden. Die Herstellerin der Office-Software hat daraufhin lediglich auf eine Sicherheitsanleitung verwiesen, die nach Bekanntwerden der Outlook-Angriffe für Nutzer erstellt worden war.

Diese Sicherheitsanleitung gibt Hinweise, wie das Risiko bei der Arbeit mit Office-Anwendungen auf Grundlage des "Dynamic Data Exchange" verringert werden kann. Die den Angriffen eigentlich zugrundeliegende Sicherheitslücke hat Microsoft nicht beseitigt. Gegenüber dem ZDF wollte ein Microsoft-Sprecher auch keine Stellungnahme zu dieser Sicherheitslücke abgeben.

Gemerkt auf Mein ZDF! Merken beendet Bewertet! Bewertung entfernt Zur Merkliste hinzugefügt! Merken beendet Embed-Code kopieren HTML-Code zum Einbetten des Videos in der Zwischenablage gespeichert.
Bitte beachten Sie die Nutzungsbedingungen des ZDF.

Um zu verstehen, wie unsere Webseite genutzt wird und um dir ein interessenbezogenes Angebot präsentieren zu können, nutzen wir Cookies und andere Techniken. Hier kannst du mehr erfahren und hier widersprechen.

Um Sendungen mit einer Altersbeschränkung zu jeder Tageszeit anzuschauen, kannst du jetzt eine Altersprüfung durchführen. Dafür benötigst du dein Ausweisdokument.

Du wechselst in den Kinderbereich und bewegst dich mit deinem Kinderprofil weiter.