Schadcode über Excel Power Query

Dass potenzieller Schadcode über Office-Dokumente verbreitet wird, ist nicht wirklich unbekannt. Nun aber haben Sicherheitsforscher von Mimecast Threat Center herausgefunden, dass nicht nur Office Makros für Angriffe genutzt werden können, sondern auch eine bisher deutlich weniger beachtete Technik. Mit dem Excel-Feature Power Query sind Angreifer in der Lage, Excel Dokumente so zu manipulieren, dass sie den bösartigen Code von einem entfernten Server über den dynamischen Datenaustausch (Dynamic Data Exchange DDE) nachladen und ausführen können.

Im Unterschied zu Office Makros ist das Feature Power Query in Excel nicht standardmäßig deaktiviert und benötigt unter gewissen Umständen zur Ausführung keine Interaktion mit dem Anwender. Auch das Aushebeln der Sicherheitsfunktionen der Antivirensoftware erwies sich nicht als zu große Hürde. Mit dem Power Query Advanced Mode lässt sich sowohl ein spezifischer HTTP-Abfrage-Header generieren, den nur der Server mit dem Schadcode interpretieren kann, als auch eine verzögerte Auslieferung des Headers, der damit Sandbox Analysen erschwert.

Nach der Aussage von Mimecast plant Microsoft keinen Patch für diese „Excel-Schwachstelle“ sondern empfiehlt als Maßnahme die Sicherheitshinweise zur wirksamen Bekämpfung von DDE Exploits aus dem Jahr 2017 umzusetzen.

Power Query ist in Microsoft Excel in den Versionen 2016 und 2019 fest enthalten und für ältere Versionen als Add-in verfügbar. Mit dem Feature ist Excel in der Lage Daten und Dateien von externen Quellen zu importieren, beispielsweise aus Datenbanken, Webseiten oder anderen Datenquellen.

Quelle: heise online