{"id":219927,"date":"2019-06-30T11:17:31","date_gmt":"2019-06-30T09:17:31","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=219927"},"modified":"2022-01-26T05:22:58","modified_gmt":"2022-01-26T04:22:58","slug":"excel-und-die-power-query-schwachstelle","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/06\/30\/excel-und-die-power-query-schwachstelle\/","title":{"rendered":"Excel und die Power Query-Schwachstelle"},"content":{"rendered":"

[English<\/a>]Sicherheitsforscher haben diese Woche auf eine potentielle Schwachstelle <\/u>im Microsoft-Excel Add-In Power Query hingewiesen, die einen neuen Angriffsvektor erm\u00f6glichen k\u00f6nnte. Office-Sicherheitsmechanismen lassen sich umgehen und der Nutzer muss auch nicht aktiv eingreifen, um den Angriff zu starten. Microsoft will keinen Fix bringen, es gibt aber Workarounds. Hier einige Informationen zu diesem Thema.<\/p>\n

<\/p>\n

\"\"Schwachstellen in Microsoft Office gibt es viele. Die meisten Blog-Leser\/innen wissen wohl, das Makros ein Einfalltor f\u00fcr Schadsoftware sind \u2013 das wird von einigen Malware-Varianten ausgenutzt. Dort muss der Nutzer die Makro-Ausf\u00fchrung freigegeben. Aber auch die OLE- und DDE-Automatisierungsschnittstellen, die Microsoft in Office bereitstellt, erm\u00f6glichen einen Missbrauch. Und genau hier liegt die von Sicherheitsforschern skizziere neue Schwachstelle. Blog-Leser 1ST hatte hier<\/a> und Blog-Leser Ralf hatte in diesem Kommentar<\/a> bereits darauf hingewiesen. Zudem habe ich eine Mail von Blog-Leser Robert R. bekommen.<\/p>\n

Power Query: Worum geht es bei der Schwachstelle?<\/h2>\n

In Microsoft Excel 2016 und 2019 ist standardm\u00e4\u00dfig die Funktion Power Query als Add-In enthalten. In Microsoft Excel 2010 und 2013 l\u00e4sst sich das Power Query-Add-In nachtr\u00e4glich installieren.<\/p>\n

Power Query<\/a> ist ein leistungsstarkes und skalierbares Business Intelligence (BI)-Tool, mit dem Benutzer ihre Tabellenkalkulationen mit anderen Datenquellen integrieren k\u00f6nnen. So l\u00e4sst sich beispielsweise eine externe Datenbank, ein Textdokument, eine anderen Kalkulationstabelle oder eine Webseite in ein Arbeitsblatt bzw. eine Kalkulationstabelle von Excel einbinden. Sobald die Quellen verkn\u00fcpft sind, k\u00f6nnen die Daten (per DDE-Automatisierungsschnittstelle) geladen und in der Kalkulationstabelle gespeichert oder dynamisch geladen werden (z.B. beim \u00d6ffnen des Dokuments).<\/p>\n

Sicherheitsforscher von Mimecast wiesen in diesem Dokument<\/a> vor einigen Tagen darauf hin, dass \u00fcber die Funktion Power Query eine Schwachstelle in Microsoft Excel aufgerissen wird, die das Einschleusen von Schadcode erm\u00f6glicht. Power Query l\u00e4sst sich n\u00e4mlich dazu verwenden, um anspruchsvolle, schwer zu erkennende Angriffe zu starten, die mehrere Angriffsvektoren kombinieren. Mit Power Query k\u00f6nnen Angreifer b\u00f6sartige Inhalte in eine separate Datenquelle einbetten und beim \u00d6ffnen in die Tabellenkalkulation laden (ohne dass der Benutzer irgend etwas anklicken muss). Der b\u00f6sartige Code k\u00f6nnte verwendet werden, um Malware auszuf\u00fchren, die den Computer des Benutzers gef\u00e4hrden kann.<\/p>\n

Das Team des Mimecast Threat Center hat auf Basis dieser Erkenntnis eine Technik als Proof of Concept (PoC) entwickelt, um Schadsoftware \u00fcber Power Query einzuschleusen. Das PoC verwendet einen Remote Dynamic Data Exchange (DDE)-Angriff, um eine Excel-Tabelle zu starten und die Schadsoftware dann per Power Query aktiv herunterzuladen und auszuf\u00fchren.<\/p>\n

Die Funktion verf\u00fcgt, nach Einsch\u00e4tzung der Sicherheitsforscher, \u00fcber eine so umfangreiche Steuerung, dass mit ihr ein Sandkasten oder die Maschine eines Opfers noch vor der Auslieferung von Nutzlasten mit dem Fingerabdruck erfasst werden kann. Der Angreifer verf\u00fcgt \u00fcber potenzielle Pre-Payload- und Pre-Exploitation-Kontrollen und k\u00f6nnte dem Opfer eine b\u00f6sartige Nutzlast liefern und die Datei gleichzeitig f\u00fcr einen Sandkasten oder andere Sicherheitsl\u00f6sungen harmlos erscheinen lassen.<\/p>\n

Was sagt Microsoft dazu?<\/h2>\n

Im ersten Schritt ist es hilfreich zu wissen, was Microsoft zu der ganzen Geschichte zu sagen hat. Daher hier einige Erl\u00e4uterungen der Begrifflichkeiten und Hinweise auf Microsofts Sicherheitshinweise.<\/p>\n

Was ist Power Query<\/h3>\n

Erg\u00e4nzend zu meinen obigen Hinweisen: Microsoft beschreibt die Funktion Power Query in diesem deutschsprachigen Artikel<\/a> als eine Datenverbindungstechnologie, mit der Nutzer Datenquellen ermitteln, verbinden, kombinieren und optimieren k\u00f6nnen, um Ihre Analyseanforderungen zu erf\u00fcllen.<\/p>\n

\"Power
\n(Quelle: Microsoft)<\/p>\n

Features in Power Query stehen in Excel und Power BI Desktop zur Verf\u00fcgung. Power Query steht als Download<\/a> f\u00fcr Excel 2013 und 2010 zur Verf\u00fcgung (ab Office 2016 ist das Add-In in Excel integriert). Die zugrunde liegende Abfragetechnologie, die Power Query erm\u00f6glicht, finden Sie auch im Power BI-Desktop<\/a>, das Teil des umfassenden Power BI<\/a> -Angebots von Microsoft ist. So weit so gut. Das Ganze scheint wohl das DDE-Protokoll zur \u00dcbertragung der Daten in Excel zu nutzen.<\/p>\n

Das steckt hinter DDE<\/h3>\n

In Microsoft Office gibt es verschiedene Methoden zum \u00dcbertragen von Daten zwischen Anwendungen. Beim DDE-Protokoll handelt es sich um eine Sammlung von Meldungen und Richtlinien. Es erm\u00f6glicht Nachrichten zwischen Anwendungen zu senden, Daten gemeinsam nutzen, und verwendet Shared Memory, um Daten zwischen Anwendungen auszutauschen. Anwendungen k\u00f6nnen das DDE-Protokoll f\u00fcr den einmaligen Datentransfer und f\u00fcr den kontinuierlichen Austausch nutzen, bei dem Anwendungen sich gegenseitig Aktualisierungen senden, sobald neue Daten zur Verf\u00fcgung stehen. Dass die DDE-Schnittstelle f\u00fcr allerlei Schadfunktionen benutzt werden kann, ist auch bekannt.<\/p>\n

Microsoft deaktiviert 2017 die DDE-Schnittstelle in Word<\/h3>\n

Im Blog-Beitrag Word DDE-Schwachstelle wird aktiv ausgenutzt<\/a> hatte ich im Oktober 2017 darauf hingewiesen, dass es wohl Malware-Angriffswellen gibt, die eine DDE-Schwachstelle in Microsoft Word ausnutzen, um Schadsoftware zu verteilen. Auch dieser Foreneintrag<\/a> dokumentiert diesen Angriffsweg. Es reicht eine kompromittierte Word-Dokumentdatei zu \u00f6ffnen, um \u00fcber die DDE-Schnittstelle die Malware herunterzuladen und auszuf\u00fchren. Die Leute erhielten eine englischsprachige E-Mails mit Rechnungen oder \u00e4hnlichem, wobei eine .doc-Datei angeh\u00e4ngt war. Wer diese Word-Datei \u00f6ffnete, l\u00f6ste \u00fcber den DDE-Mechanismus von Word den Download der betreffenden Malware aus.<\/p>\n

Von Microsoft gab es ein Sicherheits-Advisory ADV170021 | Microsoft Office Defense in Depth Update<\/a> und einen Patch, der die DDE-Schnittstelle, stillegen sollte. Dort sind Registrierungseintr\u00e4ge f\u00fcr Word und Excel beschrieben, um die DDE-Schnittstelle in Excel und Word manuell abzuschalten. Ich hatte im Blog-Beitrag Microsoft Sicherheits-Ratschlag 4053440 zur DDE-L\u00fccke<\/a> \u00fcber das Sicherheits-Advisory berichtet.<\/p>\n

Im Rahmen des Dezember 2017-Patchday hat Microsoft dann Sicherheitsupdates f\u00fcr Word 2017 (KB4011575<\/a>) bis Word 2007 freigegeben, die die DDE-Funktionalit\u00e4t deaktivieren sollen (siehe die Word-Updates im Blog-Beitrag Patchday: MS Office Sicherheitsupdates (12. Dezember 2017)<\/a>).<\/p>\n

Allerdings erwiesen sich diese Ma\u00dfnahmen zum Schlie\u00dfen der DDE-Schwachstelle als schwierig. Ich hatte im Blog-Beitrag Microsofts (Word) DDE-Patch teilweise wirkungslos?<\/a> die Probleme erw\u00e4hnt. Inzwischen ist es um das Thema DDE in Word still geworden.<\/p>\n

Excel-Sicherheitsmechanismus ausgetrickst<\/h2>\n

Zur\u00fcck zum Thema Power Query und Microsoft Excel. Heise schreibt in diesem Artikel<\/a>, dass Microsoft ab Excel 2016 einen Sicherheitsmechanismus eingebaut hat. Zum Laden von Inhalten per Power Query muss der Nutzer ab Excel 2016 einen Doppelklick auf die Zielzelle der Tabelle ausf\u00fchren. Dieser Sicherheitsmechanismus soll das automatische Laden der Power Query-Daten verhindern. In fr\u00fcheren Versionen von Power Query war diese Best\u00e4tigung nicht notwendig, die Inhalte wurden automatisch geladen. Das war der Hebel, diesen Sicherheitsmechanismus auszuhebeln.<\/p>\n

Die Sicherheitsforscher von Mimecast haben einen gerade zu trivialen Weg gefunden, um die neue, ab Excel 2016 vorhandene, Sicherheitsfunktion auszutricksen. Sie haben dazu die Excel-Arbeitsmappe mit der Power Query-Abfrage einfach in einer \u00e4lteren Excel-Version erzeugt. Dann kommt die 'Abw\u00e4rtskompatibilit\u00e4tsgeschichte' zum Tragen: Excel \u00f6ffnet ab der Version 2016 die in \u00e4lteren Versionen erstellte Tabelle einer Arbeitsmappe und l\u00e4dt die enthaltene Power Query-Abfrage automatisch \u2013 der Benutzer braucht also nichts zu tun.<\/p>\n

Dann ist es den Sicherheitsforscher von Mimecast noch gelungen, die Power Query-Abfrage so zu manipulieren, dass sie im \"Advanced Mode\" einen spezifischen Anfrage-Header (Referer) hinzuf\u00fcgen konnten. Dieser erm\u00f6glicht eine Schadsoftware von einem Server herunterzuladen. Mit weiteren Tricks haben die Forscher im Proof of Concept noch Verz\u00f6gerungsmethoden eingef\u00fchrt, um eine Analyse in der Sandbox zu erschweren. Die heruntergeladene Schadfunktion wird erst nach 10 Minuten aktiv. Mit diesem Proof of Concept ist es m\u00f6glich, die Excel-Sicherheitsfunktionen auszuhebeln und Malware \u00fcber Power Query-Abfragen auf den Rechnern auszuf\u00fchren. Die Details sind im Mimecast-Artikel<\/a> (Englisch) nachzulesen. Wired hat sich hier<\/a> dem Thema gewidmet, und heise hat einige Details in deutscher Sprache hier aufbereitet<\/a>.<\/p>\n

Mimecast hat vor der Offenlegung Microsoft im Rahmen des Coordinated Vulnerability Disclosure (CVD)-Prozesses kontaktiert. Es ging darum festzustellen, ob es sich um ein beabsichtigtes Verhalten f\u00fcr Power Query oder ob es sich um ein Problem handelte. Microsoft lehnte es zu diesem Zeitpunkt ab, eine L\u00f6sung zu ver\u00f6ffentlichen und bot stattdessen einen Workaround in Form des Security Advisory (4053440)<\/a> von Oktober 2018 an, um das Problem zu entsch\u00e4rfen. Der Sicherheitshinweise geht sehr detailliert auf die betreffenden Workarounds ein, um die DDE-Schnittstelle in diversen Office-Modulen und \u2013Versionen permanent zu deaktivieren.<\/p>\n

Mimecast empfiehlt allen Microsoft Excel-Kunden dringend, die von Microsoft vorgeschlagenen Workarounds zu implementieren. Denn die potenzielle Bedrohung f\u00fcr Excel-Nutzer ist real und ein Angriff k\u00f6nnte verheerend sein. Heise berichtet hier<\/a>, dass bei einem Test mit Virus-Total keiner der Virenscanner eine Excel-Datei mit einer sch\u00e4dlichen Power Query-Abfrage erkannte.<\/p>\n

Fragen eines Blog-Lesers<\/h2>\n

Blog-Leser Robert R. hat mich die Tage per E-Mail kontaktiert und schrieb mir zum Thema:<\/p>\n

heute bin ich auf heise<\/a> und auf SPON<\/a> auf diese beiden Artikel gesto\u00dfen. Bei MS wird empfohlen<\/a>, dies [DDE-Deaktivierung] per Registry vorzunehmen. Leider habe ich keine passende GPO gefunden, um dies in der Organisation auszurollen.<\/p>\n

[HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\
\n<version>\\Excel\\Security]
\nWorkbookLinkWarnings(DWORD) = 2<\/p>\n

Mir stellt sich nur die Frage, ob ich damit unsere User nicht beim Arbeiten behindere. Haben Sie vielleicht eine Idee zu dem Exploit, oder was man am besten unternehmen sollte?<\/p><\/blockquote>\n

Da ich nicht als Admin in diesem Bereich arbeite, fehlt mir der \u00dcberblick, welche Gruppenrichtlinien es diesbez\u00fcglich geben k\u00f6nnte. Hat jemand von euch einen Idee, bzw. wie handhabt ihr das hier skizzierte Problem in euren Unternehmensumgebungen?<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nUndokumentiertes Word-Features f\u00fcr Angriffe benutzt
\n<\/a>Exploit f\u00fcr Microsoft PowerPoint trickst Antivirus aus
\n<\/a>Zusy PowerPoint-Malware: Download durch Zeigen auf Link<\/a>
\nSicherheit: Outlook patzt, Malware trotz Office Makrosperre ausf\u00fchrbar<\/a>
\nWord DDE-Schwachstelle wird aktiv ausgenutzt<\/a>
\nMicrosofts (Word) DDE-Patch teilweise wirkungslos?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Sicherheitsforscher haben diese Woche auf eine potentielle Schwachstelle im Microsoft-Excel Add-In Power Query hingewiesen, die einen neuen Angriffsvektor erm\u00f6glichen k\u00f6nnte. Office-Sicherheitsmechanismen lassen sich umgehen und der Nutzer muss auch nicht aktiv eingreifen, um den Angriff zu starten. Microsoft will keinen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426],"tags":[3548,4328],"class_list":["post-219927","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","tag-excel","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/219927","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=219927"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/219927\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=219927"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=219927"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=219927"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}