Zum Inhalt springen

Schad­code über Excel Power Query statt Makros

Der klas­si­sche Angriffs­weg: Schad­code über Makros in Office-Dokumenten

Das Angriff­sze­na­rio ken­nen wir zur Genü­ge. Eine Word- oder Excel-Datei ent­hält Makro-Code, der nach Öff­nen des Doku­ments und einen unacht­sa­men Klick des Nut­zers auf “Makros akti­vie­ren” den eigent­li­chen Schad­code (zumeist einen Ver­schlüs­se­lungs­tro­ja­ner) nach­lädt. Es soll sogar ganz Hart­ge­sot­te­ne geben, in deren Office-Instal­la­ti­on “Makros auto­ma­tisch aus­füh­ren” ein­ge­stellt ist, spart näm­lich viel Arbeitszeit 😉

Infor­mier­te Anwen­der und IT-Abtei­lun­gen kön­nen mit die­sem Risi­ko mitt­ler­wei­le recht gut umge­hen. Neben den tech­ni­schen Lösun­gen ist natür­lich auch die regel­mä­ßi­ge Sen­si­bi­li­sie­rung der Anwen­der zwin­gend nötig. Die­se sind näm­lich kei­ne Secu­ri­ty-Spe­zia­lis­ten und soll­ten recht­zei­tig und immer wie­der auf neue mög­li­chen Stol­per­fal­len für Sicher­heit und Daten­schutz hin­ge­wie­sen werden.

Rand­no­tiz: Im Rah­men der Ein­füh­rung eines ISMS nach ISIS12 wur­de uns der Begriff “regel­mä­ßig” mit zwi­schen 5 und 10 Jah­ren erklärt. Das kann man so sehen, soll­te aber aus Grün­den der eige­nen Orga­ni­sa­ti­ons­si­cher­heit dann doch zeit­lich eher etwas straf­fer aus­ge­legt sein. Begrün­dung war übri­gens: Schu­lun­gen hal­ten nur unnö­tig von der Arbeit ab. 😉

Makros bekom­men Kon­kur­renz durch Excels Power Query — neu­es Ein­falls­tor für Schadcode

For­scher haben eine Angriffs­tech­nik über Micro­softs Power Query ent­deckt (exter­ner Link), die sogar ohne Zutun des Anwen­ders nach dem Öff­nen eines prä­pa­rier­ten Excel-Sheets Schad­code nach­lädt und aus­führt. Betrof­fen sind Excel 2016, Excel 2019 und alle älte­ren Ver­sio­nen, in denen Power Query als Add-In nach­träg­lich instal­liert wur­de. Power Query wird lt. Micro­soft zur Ver­bin­dung mit exter­nen Daten­quel­len genutzt. Ein von Hei­se ent­spre­chend prä­pa­rier­tes Doku­ment schlug bei der Prü­fung durch Virus Total kei­nen Alarm. Wie die­se Sicher­heits­lü­cke kon­kret aus­ge­nutzt wer­den kann und wie ein­fach das geht, beschreibt Hei­se in einem Bei­trag (exter­ner Link) sehr konkret.

Aktu­ell soll die­ses Angriff­sze­na­rio noch nicht aus­ge­nutzt wer­den, Angrif­fe sind noch kei­ne bekannt. Zeit genug, sich dage­gen zu wapp­nen. Eine Mög­lich­keit besteht dar­in, Power Query kom­plett zu deak­ti­vie­ren (Regis­try). Wei­te­re Schutz­maß­nah­men beschreibt Micro­soft im Secu­ri­ty Advi­so­ry 4053440 (exter­ner Link).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Die mobile Version verlassen