Forum: Netzwelt
Millionen Nutzer betroffen: Schwachstelle in Excel lässt Schadsoftware durch
AP

Sicherheitsforscher haben mehrere Funktionen in Excel so kombiniert, dass daraus ein gut versteckter Türöffner für Erpresser- oder Spionagesoftware wird. Microsoft reagiert zurückhaltend.

Seite 1 von 4
SvenMeyer 27.06.2019, 11:59
1. OpenOffice / LibreOffice

Ich empfehle OpenOffice / LibreOffice Calc. Hat alles was man braucht, kostet nichts, kann Excel Dateien genauso erstellen und bearbeiten und ist sogar einfacher zu bedienen. Ebenso "Writer". Das Word Äquivalent.

Beitrag melden Antworten / Zitieren
bessernachgedacht 27.06.2019, 12:01
2. Völlig unaufgeklärt

Wie arglos Firmen und Behörden mit Ihrer IT umgehen lässt sich schon daran sehen, wie eben besagte Excel Dateien (ebenso viele andere Dateiarten) versendet und empfangen werden. Lehnt man dies kategorisch ab, erntet man Unverständnis bis Argwohn. Die User und eben teilweise auch die Admins und ebenso die Chefs haben von der Materie leider null Ahnung.

Beitrag melden Antworten / Zitieren
Olaf 27.06.2019, 12:08
3.

Die Antiviren Programme können keinen Schadcode in den Excel Tabellen erkennen, weil auch keiner enthalten ist. Dieser wird ja erst nach dem öffnen der Datei nachgeladen. Ein ähnliches Prinzip wie bei SPAM-Mails in denen nur ein Link enthalten ist, unter dem man angeblich seine Rechnung findet oder was auch immer.

Erst beim Laden des externen Links kann die Antivirensoftware reagieren. Am Besten natürlich in Kombination mit eine Firewall, die ebenfalls Antiviren Funktionalität hat.

Beitrag melden Antworten / Zitieren
dw_63 27.06.2019, 12:13
4. Legitim

"Weil es sich aber um eine legitime Funktion handelt, die in diesem Szenario nur missbraucht wird, betrachtet Microsoft sie nicht als Sicherheitslücke."

Alle Produkte von Microsoft sind eine Sicherheitslücke. ;-)

Aber im ernst, was hier beschrieben ist, ist kein Angriff, sondern der Weg, einen Code in das System ein zu schleusen, selbst wenn der Anwender geklickt hat, gibt es noch zwei Hürden:

1. Die Rechte, unter dem der User arbeitet, wenn er keine Administratorrechte hat, kann der Virus nur im Berechtigungskontext des Nutzers arbeiten, wie z.B. die Verschlüsselungstrojaner.

2. Der Virenscanner mit heuristischer Erkennung, dem fallen solch verdächtige Aktivitäten auf, aber wie man an den Verschlüsselungstrojaner sieht, auch nicht alle.

Ergo, die größte Gefahr sitzt vor dem Bildschirm. Also nicht auf irgendwelche OK Buttons klicken, und jede Mail, auch wenn sie vom Arbeitskollegen kommt, kritisch sehen.

Ansonsten kann man als Microsoft Nutzer nur rechtzeitig patchen, auch wenn Microsoft ab und zu mal Millionen Computer selber lahmlegt, dazu braucht es keine Schadsoftware.

Beitrag melden Antworten / Zitieren
debabba 27.06.2019, 12:39
5. Der Auslöser sitzt davor

Zitat: eine möglichst unverdächtige Datei als Türöffner, einen arglosen Nutzer, der sie öffnet,
Wie immer ... wenn Jemand Dateien / Anlagen öffnet, die von fragwürdigen Quellen kommt, dann ist MS schuld
denn , warum soll man eine Excel Datianlage öffnen, wenn ich den Absender nicht kenne, den Grund warum ich diese Mail erhalte nicht kenne usw.
PEBCAK = Problem Exist Between Chair And Keyboard

Beitrag melden Antworten / Zitieren
haichen 27.06.2019, 12:40
6. Warum ist denn der Download ausführbar?

Powerquery lädt Daten herunter. Warum werden diese ausgeführt? Muß das sein?

Beitrag melden Antworten / Zitieren
tinnytim 27.06.2019, 12:43
7.

Die Antwort von Microsoft ist natürlich eine Bankrott-Erklärung, was das eigene Sicherheitsverständnis angeht. Da müsste jeder IT-Sicherheitsbeauftragte in Unternehmen eigentlich sofort eine Mail an die Systemadministratoren schicken, diese Funktion in Excel (wahrscheinlich auch in Access) zu deaktivieren.

Beitrag melden Antworten / Zitieren
parumba 27.06.2019, 12:49
8.

Ich kann da keine Schwachstelle erkennen. Wie im Text erwähnt ist die Verknüpfung von Daten zu externen Quellen eine Funktion von Excel. Wenn der Nutzer nun mehrmals(!) bestätigt die Verbindung zu einer externen, im möglicherweise unbekannten, "verseuchten" Quelle zu zulassen ist das seine Schuld. Wenn ich einem klingelnden Einbrecher freundlich die Tür öffne hat auch nicht mein Schloss versagt...

Beitrag melden Antworten / Zitieren
jww+++ 27.06.2019, 12:50
9. ...spätestens

nach diesem Artikel, ..."Mimecast geht davon aus, dass die beschriebene Angriffstechnik bisher nicht eingesetzt wurde. Aber Farjon ist sich sicher, dass es noch passieren wird... werden es einige versuchen

Beitrag melden Antworten / Zitieren
Seite 1 von 4