Forscher haben eine Sicherheitslücke bei Microsoft Excel entdeckt, die nahezu jeden User betreffen kann. Dabei handelt es sich um eine Schwachstelle im Datenaustausch-Protokoll, so dass über Excel-Dateien Ransomware und andere Schädlinge auf den PC eingeschleust werden können.

Wie wird der Hackerangriff ausgelöst?

Der Angriff funktioniert über eine Excel-Datei, die externe Datenquellen nutzt und diese beim Öffnen der Datei aus dem Internet lädt. Das dafür verwendete Protokoll heißt Dynamic Data Exchange (DDE), die Funktion Power-Query. Sie ermöglicht es, Excel-Tabellen dynamisch mit anderen Datenquellen zu ergänzen, zum Beispiel mit externen Datenbanken oder Webseiten. Das bedeutet: eine entsprechende Excel-Tabelle holt sich bei jedem Öffnen die aktuellen Daten der verknüpften externen Quelle und aktualisiert sich damit selbst – ein gewolltes Feature von Microsoft. Angriffsversuche über dieses DDE-Protokoll sind nicht neu, allerdings musste bis dato der Schadcode bereits in der Excel-Datei enthalten sein und wurde so von gängigen Virenprogrammen erkannt. Nun ist es Forschern gelungen, den Schadcode ins Internet auszulagern. Zusätzlich konnten sie die Dateien so manipulieren, dass die Schadsoftware nur geladen wird, wenn keine ausreichende Sicherheitslösung auf den Geräten vorhanden ist. Öffnet der Nutzer die entsprechende Datei und bestätigt die Abfrage von Excel, ob die Daten aktualisiert werden sollen, hat der Hacker Zugriff. Betroffen sind alle Nutzer von Excel ab Version 2016 und diejenigen, die das Power-Query-Add-in für Excel 2013 oder 2010 installiert haben.

Microsoft wird nach eigener Aussage zunächst kein Update anbieten, dass diese Schwachstelle ausbessert. Für den Konzern handelt es sich um keine Sicherheitslücke, da die Funktion selbst legitim und gewollt sei und in diesem Szenario lediglich missbraucht wird. Das Unternehmen weist auf die Möglichkeit hin, die Update-Funktion zu deaktivieren. Möglich ist dies unter „Datei, Optionen, Trust Center, Einstellungen für das Trust Center, Externer Inhalt, Sicherheitseinstellungen für Arbeitsmappenverknüpfungen über ‚Alle Arbeitsmappenverknüpfungen deaktivieren‘”.

Ist Ihr Unternehmen vor solch einer Bedrohung geschützt?

Bisher ist kein aktives Ausnutzen der Lücke bekannt, doch dürfte das nur eine Frage der Zeit sein. Gängige Antivirenprogramme sind dabei machtlos, gerade weil die bedrohende Funktion nicht im Zielsystem verankert ist. Stattdessen wird er jedes Mal aus dem Internet in die Excel-Datei geladen, wenn diese wieder geöffnet wird.

Mit „Panda Adaptive Defense 360“ allerdings sind Excel-Nutzer sicher. Die integrierte Endpoint-Detection-and-Response-Technologie bietet eine 100-prozentige Echtzeitüberwachung, Erfassung und Kategorisierung aller laufenden Prozesse auf allen Endpoints. Dateien, Programme und Prozesse werden unter Verwendung von KI sowie durch den Echtzeitzugriff auf selbstlernende Systeme in Big-Data-Umgebungen klassifiziert und erst nach erfolgreicher Prüfung zugelassen. Im Fall einer Cyberattacke über die benannte Excel-Schwachstelle bedeutet das im Ergebnis: Der Versuch einer Infektion beim Update der Tabelle wird festgestellt und automatisch blockiert, bevor Computer infiziert oder – im Falle eines Erpressungstrojaners – Daten verschlüsselt werden können.