Sicherheitslücke in Excel gefährdet 120 Millionen User
Dieser Artikel ist älter als ein Jahr!
Sicherheitsforscher haben eine Schwachstelle im Tabellenkalkulationsprogramm Excel aufgedeckt, die es erlaubt, schädlichen Code auf den Rechnern der Nutzer auszuführen. Dabei nutzen sie eine Lücke in dem Feature Power Query aus. Power Query erlaubt es, Daten zu verarbeiten, bevor sie aus einer externen Quelle importiert werden.
Möglich ist das mit externen Datenbanken, Textdokumenten, Tabellen oder Webseiten. Das Tool ist bei aktuellen Excel-Versionen standardmäßig dabei, für ältere Varianten kann es gesondert heruntergeladen werden.
Automatisches Nachladen
In der Praxis wir diese Funktion dazu genutzt, dynamische Inhalte in Excel-Dokumenten auf aktuellem Stand zu halten. Man hat dabei eine Tabelle, die Informationen (etwa Aktienkurse) benötigt. Jene werden beim Öffnen der Spreadsheets automatisch per Power Query nachgeladen. Der Vorgang heißt Dynamic Data Exchange (DDE).
Genau diese Funktion kann missbräuchlich verwendet werden, wie Sicherheitsforscher Ofir Shlomo von Mimecast entdeckte. Angreifer müssen dazu manipulierte Excel-Dokumente erstellen, die anschließend per Power Query in andere Dokumente importiert werden.
"Mit Power Query können Angreifer bösartige Inhalte in eine separate Datenquelle einbetten und diese beim Öffnen in die Tabelle laden", so Shlomo. Der schädliche Code könne zum Löschen und Ausführen von Malware verwendet werden, wie er gegenüber ZDnet angibt.
120 Millionen gefährdet
Sicherheitsforscher Meni Farjon von Mimecast geht von 120 Millionen potenziell gefährdeten Nutzern aus, wie er gegenüber Spiegel erklärt. Der Angriff würde so ablaufen: Eine vermeintlich harmlose Tabelle ohne Schadsoftware wird von einem Nutzer heruntergeladen. Öffnet er sie, wird er aufgefordert, aktuelle Inhalte nachzuladen. Genau dann wird der Computer infiziert. Virenscanner helfen laut Minecast nur bedingt gegen die Gefahr. Von 30 getesteten Programmen schlug keines an.
Microsoft selbst will laut Mimecast keinen Patch herausgeben. Stattdessen weist man auf einen Workaround aus dem Jahr 2017 hin. Darin wird lediglich beschrieben, wie DDE vom Administrator deaktiviert werden kann.
Kommentare