Excel: Angriff über DDE-Schnittstelle ermöglicht Installation von Malware

Das Feature Power Query in Microsoft Excel erlaubt Angreifern Angriffe Über den dynamischen Datenaustausch (Dynamic Data Exchange, DDE). Gefährlich kann das insbesondere deshalb sein, weil eine solche Attacke nur wenig Interaktion des Nutzers bedingt. Dieses Einfallstor haben Sicherheitsforscher von Mimecast entdeckt und mit einem Exploit als Proof-of-Concept demonstriert.

Das vielseitige Tool Power Query ist in aktuellen Versionen von Excel enthalten und für ältere Versionen als Add-in verfügbar. Dank diesem Feature kann Excel Dateien von entfernten Quellen importieren, etwa einer externen Datenbank, einem Textdokument, einer anderen Tabellenkalkulation oder einer Webseite. Seine Funktionsweise lässt sich aber auch ausnutzen, um bösartigen Code in das System des Opfers einzuschleusen.

Das kann mit präparierten Excel-Dokumenten geschehen, die Power Query einsetzen, um Daten vom entfernten Server eines Angreifers zu importieren. Den Sicherheitsforschern gelang damit auch die Umgehung von Sandboxen, die zur Sicherheit per E-Mail versandte Dokumente analysieren, bevor Nutzer sie herunterladen und öffnen können.

„Power Query könnte auch für raffinierte, schwer erkennbare Attacken eingesetzt werden, die mehrere Angriffsflächen kombinieren“, schreibt Sicherheitsforscher Ofir Shlomo vom Mimecast Threat Center . „Mit Power Query könnten Angreifer bösartigen Inhalt in eine separate Datenquelle einbetten und dann den Inhalt in das Tabellenblatt laden, wenn es geöffnet wird. Der bösartige Code könnte genutzt werden, um Malware zu platzieren und auszuführen, die den Rechner des Nutzers kompromittiert.“

Da dafür der dynamische Datenaustausch DDE erforderlich ist, muss der Nutzer das eigentlich mit einem Doppelklick in die jeweilige Zelle und einem weiteren Klick erlauben. Aber selbst auf diese Interaktion sind Angreifer nicht mehr angewiesen, wenn sie das bösartige Dokument in einer älteren Version von Microsoft Office präparieren – und schon steht einer automatischen Ausführung nichts mehr im Weg. Die Sicherheitsforscher stießen außerdem auf Methoden, um eine Erkennung durch gängige Antiviruslösungen zu umgehen.

Schon im Dezember 2017 sperrte Microsoft das DDE-Protokoll in Word, nachdem es von mehreren Malwarekampagnen genutzt wurde. In Excel blieb der dynamische Datenaustausch jedoch erhalten, vielleicht weil hier die Bedrohung geringer erschien. Das scheint Microsoft noch immer so zu sehen und plant keinen Patch wie bei Word. Das Microsoft Security Response Center (MRSC) verwies stattdessen auf das Security Advisory 4053440 mit Workarounds, um eine Gefährdung auszuschließen.

Bernd Kling

Recent Posts

Schnäppchen: Xiaomi Mi 10 für 662 Euro

Gegenüber dem offiziellen Verkaufspreis bietet der chinesische Online-Shop Gearbest das Mi 10 fast 140 Euro günstiger an. Leider gilt das…

8 Stunden ago

Xiaomi spendet 120.000 Atemschutzmasken

Das Deutsche Rote Kreuz nimmt die Lieferungen in Empfang und übernimmt die Verteilung in Abstimmung mit den lokalen Behörden. Weitere…

11 Stunden ago

Factsheet zur Einrichtung von Kurzarbeitergeld (Kug) in SAP HCM

SAP Full-Service-Provider Nexus / Enterprise Solutions erweitert angesichts von Corona Support und Kundenbetreuung – Neues Factsheet zu Kurzarbeitergeld und SAP…

12 Stunden ago

Windows 10: KB4535996 sorgt für Probleme bei VPN-Verbindungen

Betroffen sind sämtliche Windows-Versionen, die seit Herbst 2017 erschienen sind. Ein Neustart soll das Problem temprorär beheben. Anfang April will…

13 Stunden ago

Galaxy S7 und Galaxy S7 Edge: März-Patch wird ausgeliefert

Das Update steht für die freien Geräte parat. Vor knapp zwei Monaten hatte Samsung die Provider-Modelle mit dem Januar-Sicherheitspatch versorgt.

14 Stunden ago

Microsoft: Nutzung der Clouddienste steigt um 775 Prozent

In den Regionen mit Ausgangsbeschränkungen steigt die Nutzund der Cloudienste erheblich. Vor allem Teams, Windows Virtual Desktop und Power BI…

16 Stunden ago