In dem von Microsoft entwickelten Office-Programm Excel wurde erneut eine Sicherheitslücke entdeckt. Nach jetzigem Stand könnten potenziell alle Nutzer der Anwendung betroffen sein.
Das Software-Unternehmen Mimecast hat eine Möglichkeit entdeckt über Microsoft Excel fremde Computer anzugreifen. „Betroffen sind potenziell alle User von Microsoft Office weltweit", sagt der Chef-Wissenschaftler Meni Farjon von Mimecast.
Die Sicherheitsexperten der Firma haben dabei Schadesoftware von einer Website in eine Tabellenkalkulation eingefügt und direkt ausgeführt. Ausgenutzt haben die Forscher des Unternehmens dafür das Datenaustausch-Protokoll „Daynamic Data Exchange“ und das Analysewerkzeug „Power Query“.
Dadurch können von den „Angreifern“ Computer übernommen, Daten verändert oder Festplatten gelöscht werden. Power Query ermöglicht es sehr einfach weitere Daten aus externen Datenbanken, Texten oder anderen Tabellen in die eigene Tabellenkalkulation zu integrieren.
Ein Angriff über eine Excel-Datei könnte nun wie folgt aussehen. Eine Excel-Datei welche selbst keine Schadsoftware enthält, aber eine integrierte Power Query, die den Nutzer dazu auffordert die Daten mit Daten aus dem Internet beim Öffnen der Datei zu aktualisieren. Öffnet der Nutzer in dem Fall die Excel-Datei, da diese einer eingegangen E-Mail angehängt ist und führt die Aktualisierung durch, könnten so den Angreifern die Türen geöffnet werden.
Mit dem Datenaustausch-Protokoll "Dynamic Data Exchange" kann Outlook zum Beispiel Kalendereinträge aktualisieren. Auf diese Weise kann Excel weitere Datenquellen unproblematisch einbinden. Dieses Protokoll ist zurzeit zu einem häufig genutzten Einfallstor von Angreifern geworden.
Die Schadsoftware, die mittels der beschriebenen Methoden in die Tabellenkalkulation geladen wurde, konnte von keinem Anti-Virus-Programm entdeckt werden.
Vor einigen Wochen wurde Microsoft von dem Software-Unternehmen Mimecast über die neue Angriffsstrategie informiert. Daraufhin hat Microsoft eine Sicherheitsanleitung für die Nutzer erstellt.
Es wird empfohlen, als vorläufige Maßnahme auf allen Arbeitsplatzrechnern (bzw. über Gruppenrichtlinien) DDE, das Protokoll, das diesen Angriff ermöglicht, für Microsoft Excel zu deaktivieren.