Netzwelt

Millionen Nutzer gefährdet

Schwachstelle in Excel lässt Schadsoftware durch

Sicherheitsforscher haben mehrere Funktionen in Excel so kombiniert, dass daraus ein gut versteckter Türöffner für Erpresser- oder Spionagesoftware wird. Microsoft reagiert zurückhaltend.

AP

Wenn die Malware in die Tabelle einfließt: Excel 2010

Von
Donnerstag, 27.06.2019   11:49 Uhr

Um eine Schadsoftware - sei es ein Erpressungstrojaner oder ein Spionageprogramm - von außen in ein Firmennetzwerk zu schleusen, brauchen Kriminelle wenigstens drei Dinge: eine möglichst unverdächtige Datei als Türöffner, einen arglosen Nutzer, der sie öffnet, und einen Weg, den Pfad der Schadsoftware vor Antivirenprogrammen und anderen Sicherheitsfunktionen zu verbergen. Sicherheitsforscher der Firma Mimecast mit Sitz in London haben eine clevere Angriffstechnik entwickelt, die sich dafür bestens eignet. Ihr Einfallstor ist Microsoft Excel.

Die Schwachstelle in dem Tabellenkalkulationsprogramm ist die sogenannte Power-Query-Funktion. Sie ermöglicht es, Excel-Tabellen dynamisch mit anderen Datenquellen zu füttern, zum Beispiel mit externen Datenbanken oder auch Websites. Dynamisch heißt: Die Excel-Tabelle kann sich jedes Mal, wenn sie geöffnet wird, die aktuellen Daten der externen Quelle holen und sich damit selbst aktualisieren. Das ist sinnvoll, wenn die Tabelle zum Beispiel Wechselkurse beinhalten soll. Das zugrundeliegende Protokoll heißt Dynamic Data Exchange, kurz DDE.

Mimecast geht von 120 Millionen gefährdeten Computern aus

DDE-Attacken gibt es schon seit Jahren, der berüchtigte Erpressungstrojaner Locky etwa wurde damit verbreitet. Auch Excel als Ziel für derartige Angriffe ist nicht neu, der Schadcode wurde in bisherigen Szenarien allerdings als Formel direkt in der Excel-Datei verpackt. Mimecast erweitert den bisherigen Ansatz an mehreren Stellen. Meni Farjon aus der Abteilung für Advanced Threat Detection sagte dem SPIEGEL, man habe "das Ausmaß der Bedrohung multipliziert".

Farjon geht von rund 120 Millionen potenziell gefährdeten Nutzern weltweit aus. Die Zahl ist jedoch nur eine Schätzung und beruht zum Teil auf Google-Ergebnissen nach der Verbreitung von Excel. Laut Microsoft muss Power Query für Excel 2010 und 2013 in Form eines Add-ins heruntergeladen und installiert werden, seit Excel 2016 ist sie als "Abrufen und Transformieren" bereits integriert und standardmäßig aktiv.

Der Angriff läuft so ab: Ausgangspunkt ist eine Excel-Datei des Angreifers, "die selbst keine Schadsoftware enthält", wie Farjon betont, sondern nur eine integrierte Power Query, also die Bitte um Aktualisierung mit Daten aus dem Internet bei jedem Öffnen der Datei. Das Opfer muss dazu gebracht werden, diese Datei zu öffnen, wobei es keine Rolle spielt, ob sie per E-Mail kommt oder auf einer Website abgelegt ist.

Dass jemand so eine Datei arglos öffnet, ist genauso wahrscheinlich wie bei jedem anderen Angriff: Der Anreiz muss nur gut genug sein, zum Beispiel wenn die Excel-Datei in einer E-Mail steckt, die das Opfer erwartet hat.

Normale Excel-Funktionen, die kreativ missbraucht werden

Weil Power Query und DDE normale Funktionen von Excel sind, wäre auch die Aktualisierung der Datei beim Öffnen nicht weiter ungewöhnlich. Aber es ist genau diese Aktualisierung, die Mimecast so gestalten kann, dass sie unbemerkt Schadsoftware - welcher Art auch immer - einschleust.

Der Nutzer muss den Datenimport und damit die Ausführung der eigentlichen Schadsoftware zwar mit einem Doppelklick und einem weiteren Klick bestätigen. Aber das müsste er auch bei legitimen DDE-Aktionen. Außerdem hat Mimecast entdeckt, dass man den Doppelklick mit einem einfachen Befehl auch umgehen kann, wenn man den Angriff in Excel 2010 anlegt. Welche Version das Opfer nutzt, ist dann egal.

Nach dem Öffnen der Excel-Datei braucht es bis zum Start der Schadsoftware also nur noch einen Klick, ähnlich wie es bei Angriffen auf der Basis von Office-Makros der Fall ist. Makros sind deshalb in vielen Firmen standardmäßig deaktiviert, Power Query und DDE nicht.

Gängige Antivirenprogramme sind machtlos

Zwei Eigenheiten sorgen darüber hinaus dafür, dass die Angriffstechnik extrem schwierig zu entdecken ist. Zum einen muss der Türöffner nicht im Zielsystem verankert werden. Stattdessen wird er jedes Mal aus dem Internet in die Excel-Datei geladen, wenn diese wieder geöffnet wird.

Zum anderen können Angreifer die Power Query so formulieren, dass sie normale Nutzer von Antivirensoftware und anderen Sicherheitsmechanismen unterscheidet. Die Schadsoftware wird im zweiten Fall gar nicht erst ausgeliefert.

Mimecast hat seinen Angriff mehrfach gegen zahlreiche bekannte IT-Sicherheitslösungen getestet, mit vernichtendem Ergebnis: Von 30 Schutzprogrammen erkannte kein einziges, dass die Test-Excel-Datei eine Infektion mit sich brachte. Natürlich will das Unternehmen seine eigene Sicherheitslösung verkaufen, die es besser macht. Damit ist jedoch nicht gesagt, dass andere fortschrittliche Produkte mit Echtzeit-Code-Analysen nicht ebenso hilfreich sein können. Außerdem kann der eigentliche Angriff theoretisch immer noch gestoppt werden, wenn die nachgeladene Schadsoftware im Zielsystem aktiv wird.

Mimecast hatte Microsoft frühzeitig eingeweiht. Doch das Unternehmen aus Redmond will kein generelles Sicherheitsupdate für Excel herausgeben und verweist stattdessen auf einen Workaround aus dem Jahr 2017, mit dem Nutzer oder Administratoren DDE in Excel deaktivieren können. Weil es sich aber um eine legitime Funktion handelt, die in diesem Szenario nur missbraucht wird, betrachtet Microsoft sie nicht als Sicherheitslücke.

Erst am Freitag antwortete das Unternehmen auf eine SPIEGEL-Anfrage und teilte mit: "Damit diese Angriffstechnik funktioniert, muss ein Opfer dazu gebracht werden, mehrere Sicherheitswarnungen zu überspringen." Außerdem verwies Microsoft auf ein Sicherheitsupdate vom Januar 2018, mit dem "tiefergehende Konfigurationsmöglichkeiten zum selektiven Abschalten des DDE-Protokolls in allen unterstützten Excel-Versionen eingeführt" wurden.

Mimecast geht davon aus, dass die beschriebene Angriffstechnik bisher nicht eingesetzt wurde. Aber Farjon ist sich sicher, dass es noch passieren wird. Der Trick sei zu einfach und zu effektiv, um es nicht zu versuchen.

Hinweis: Der Artikel wurde um das Statement von Microsoft ergänzt.

insgesamt 36 Beiträge
SvenMeyer 27.06.2019
1. OpenOffice / LibreOffice
Ich empfehle OpenOffice / LibreOffice Calc. Hat alles was man braucht, kostet nichts, kann Excel Dateien genauso erstellen und bearbeiten und ist sogar einfacher zu bedienen. Ebenso "Writer". Das Word Äquivalent.
Ich empfehle OpenOffice / LibreOffice Calc. Hat alles was man braucht, kostet nichts, kann Excel Dateien genauso erstellen und bearbeiten und ist sogar einfacher zu bedienen. Ebenso "Writer". Das Word Äquivalent.
bessernachgedacht 27.06.2019
2. Völlig unaufgeklärt
Wie arglos Firmen und Behörden mit Ihrer IT umgehen lässt sich schon daran sehen, wie eben besagte Excel Dateien (ebenso viele andere Dateiarten) versendet und empfangen werden. Lehnt man dies kategorisch ab, erntet man [...]
Wie arglos Firmen und Behörden mit Ihrer IT umgehen lässt sich schon daran sehen, wie eben besagte Excel Dateien (ebenso viele andere Dateiarten) versendet und empfangen werden. Lehnt man dies kategorisch ab, erntet man Unverständnis bis Argwohn. Die User und eben teilweise auch die Admins und ebenso die Chefs haben von der Materie leider null Ahnung.
Olaf 27.06.2019
3.
Die Antiviren Programme können keinen Schadcode in den Excel Tabellen erkennen, weil auch keiner enthalten ist. Dieser wird ja erst nach dem öffnen der Datei nachgeladen. Ein ähnliches Prinzip wie bei SPAM-Mails in denen nur [...]
Die Antiviren Programme können keinen Schadcode in den Excel Tabellen erkennen, weil auch keiner enthalten ist. Dieser wird ja erst nach dem öffnen der Datei nachgeladen. Ein ähnliches Prinzip wie bei SPAM-Mails in denen nur ein Link enthalten ist, unter dem man angeblich seine Rechnung findet oder was auch immer. Erst beim Laden des externen Links kann die Antivirensoftware reagieren. Am Besten natürlich in Kombination mit eine Firewall, die ebenfalls Antiviren Funktionalität hat.
dw_63 27.06.2019
4. Legitim
"Weil es sich aber um eine legitime Funktion handelt, die in diesem Szenario nur missbraucht wird, betrachtet Microsoft sie nicht als Sicherheitslücke." Alle Produkte von Microsoft sind eine Sicherheitslücke. ;-) [...]
"Weil es sich aber um eine legitime Funktion handelt, die in diesem Szenario nur missbraucht wird, betrachtet Microsoft sie nicht als Sicherheitslücke." Alle Produkte von Microsoft sind eine Sicherheitslücke. ;-) Aber im ernst, was hier beschrieben ist, ist kein Angriff, sondern der Weg, einen Code in das System ein zu schleusen, selbst wenn der Anwender geklickt hat, gibt es noch zwei Hürden: 1. Die Rechte, unter dem der User arbeitet, wenn er keine Administratorrechte hat, kann der Virus nur im Berechtigungskontext des Nutzers arbeiten, wie z.B. die Verschlüsselungstrojaner. 2. Der Virenscanner mit heuristischer Erkennung, dem fallen solch verdächtige Aktivitäten auf, aber wie man an den Verschlüsselungstrojaner sieht, auch nicht alle. Ergo, die größte Gefahr sitzt vor dem Bildschirm. Also nicht auf irgendwelche OK Buttons klicken, und jede Mail, auch wenn sie vom Arbeitskollegen kommt, kritisch sehen. Ansonsten kann man als Microsoft Nutzer nur rechtzeitig patchen, auch wenn Microsoft ab und zu mal Millionen Computer selber lahmlegt, dazu braucht es keine Schadsoftware.
debabba 27.06.2019
5. Der Auslöser sitzt davor
Zitat: eine möglichst unverdächtige Datei als Türöffner, einen arglosen Nutzer, der sie öffnet, Wie immer ... wenn Jemand Dateien / Anlagen öffnet, die von fragwürdigen Quellen kommt, dann ist MS schuld denn , warum [...]
Zitat: eine möglichst unverdächtige Datei als Türöffner, einen arglosen Nutzer, der sie öffnet, Wie immer ... wenn Jemand Dateien / Anlagen öffnet, die von fragwürdigen Quellen kommt, dann ist MS schuld denn , warum soll man eine Excel Datianlage öffnen, wenn ich den Absender nicht kenne, den Grund warum ich diese Mail erhalte nicht kenne usw. PEBCAK = Problem Exist Between Chair And Keyboard

Mehr im Internet

Verwandte Themen

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung

TOP