Sicherheitsforscher finden Schwachstelle in Microsoft Excel

Sicherheitsforscher der Firma Mimecast haben eine kritische Sicherheitslücke im Office Programm Microsoft Excel entdeckt, welche es erlaubt Schadcode nahezu unbemerkt in Unternehmen zu platzieren. Der Angreifer missbraucht hierfür das in Excel integrierte Tool namens „Power Query“, welches dazu verwendet werden kann, Inhalte aus externen Quellen beim Öffnen eines Excel Dokuments mit einzubinden.

Was macht diese Sicherheitslücke so gefährlich?

Ähnlich wie bei der Ausführung von Dokumenten, welche Makros mit Schadsoftware beinhalten, versucht auch hier ein Angreifer den Nutzer dazu zu bewegen, die ihm übermittelte Datei zu öffnen. Entscheidend ist jedoch, dass das empfangene Excel Dokument selbst keinen Schadcode zum Zeitpunkt des Öffnens enthält. Dieser wird erst zu einem späteren Zeitpunkt aus dem Internet heruntergeladen. Meldungen von Antiviren-Programmen bleiben aus, da es zunächst kein Indiz für einen Angriff gibt.

Wie ist es möglich, dass Antiviren-Programme nicht alarmieren?

Antiviren-Programme analysieren zwar die Excel Datei, jedoch verhindert eine Einstellung des Angreifers, dass die hinterlegte URL über welche Schadcode heruntergeladen wird, als potenziell gefährlich eingestuft wird. Dies geschieht durch Manipulation des Headers; jener Teil, welcher Informationen über das Datum der Anfrage, die bevorzugte Sprache, als auch den Referer beim Aufruf einer URL übermittelt. Letztere Angabe ist ausschlaggebend, denn der Schadcode wird nur heruntergeladen, wenn man die URL aus Excel heraus über www.google.com aufruft. Die Referer-URL kann der Angreifer dabei individuell definieren. Sofern nun Antiviren-Programme die URL überprüfen, geschieht dies ohne die Übermittlung des entsprechenden Headers und somit nicht über den Referer. Die Anfrage zum Download der Schadsoftware wird abgewiesen – der Schadcode nicht gescannt.

Zusätzliche Sicherheitsmaßnahmen, wie zum Beispiel Sandboxing greifen nicht, da der Zeitpunkt der Schadcode Einbindung vom Angreifer individuell verzögert wird.

Welche präventiven Maßnahmen gibt es?

Die einzig verlässliche Maßnahme ist derzeit die Unterbindung der Benutzung der „Power Query“ Funktion. Dies kann zum Beispiel durch eine Gruppenrichtlinie eingestellt werden. Hierbei werden alle Verbindungen beim Ausführen von Excel Dokumenten zu externen Quellen blockiert. Ein Nachladen von Schadcode ist somit nicht mehr möglich. Weitere Informationen sind dem Microsoft Security Advisory 4053440 zu entnehmen. Ein Update von Microsoft sei vorerst nicht zu erwarten, da es sich weniger um eine Sicherheitslücke, sondern viel mehr um einen Missbrauch einer legitimen Programmfunktion handelt – eine Einschätzung, die wir ebenfalls teilen.

Autor: TH