Excel: Daten-Import ist ungesichertes Einfallstor für Malware

Microsoft hat die Tabellenkalkulation Excel mit mächtigen Schnittstellen für den Import von Daten ausgestattet - dummerweise machen diese aber auch den Weg frei, um Malware auf Systeme zu schleusen und zur Ausführung zu bringen. Das konnten Sicherheitsforscher jetzt im Falle von Power Query nachweisen. Ofir Shlomo vom Mimecast Threat Center hat ein Verfahren beschrieben, mit dem Angreifer Codes über die genannte Schnittstelle auf ein System bringen können. Vor allem gezielte Angriffe dürften damit recht erfolgreich machbar sein - immerhin kommt die Schnittstelle vor allem in Bereichen zum Einsatz, in denen auch Wirtschaftsspionage immer ein wichtiger Motivationsfaktor ist.

Power Query ist seit einiger Zeit fester Bestandteil von Excel. Das Feature ermöglicht es, Informationen aus diversen externen Quellen wie Datenbanken, Textdokumenten, Webseiten und anderem zu beziehen. Dabei können Daten aus unterschiedlichen Quellen miteinander kombiniert und verarbeitet werden, bevor sie letztlich in die Tabelle einfließen.

Patch wird nicht kommen

Über diesen Weg lässt sich eben auch fremder Code einschleusen, wenn der Angreifer sich Zugang zu einer Datenquelle verschaffen kann. Auf diesem Weg kann dann über ein geöffnetes Excel-Dokument Malware eingeschleust werden, wobei die meisten Sicherungssysteme umgangen werden. Denn die lokale Anwendung wird ja nicht von außen attackiert, sondern holt sich gezielt die Daten von Außen herein. Selbst Sandboxes können so ausgehebelt werden.

Einen Patch von Microsoft wird es hierzu nicht geben, immerhin handelt es sich hier ja nicht um eine gewöhnliche Sicherheitslücke, sondern um einen Missbrauch eines völlig normalen Features. Verhindert werden können Angriffe allerdings, indem Dynamic Data Exchange (DDE) deaktiviert wird. In Word ist dies bereits seit zwei Jahren standardmäßig der Fall, in Excel ist DDE aber noch von Haus aus aktiv, kann aber manuell abgeschaltet werden.