Hallo Habr! Ich präsentiere Ihnen die Übersetzung des Artikels
"Wie Hacker die eigenen Funktionen von
Microsoft Excel dagegen einsetzen" von Lily Hay Newman.
Elena Lacey, getty BilderSicherlich ist Microsoft Excel für viele von uns ein langweiliges Programm. Sie weiß viele Dinge, aber es sind immer noch keine Apex-Legenden. Hacker sehen Excel anders. Für sie sind Office 365-Anwendungen ein weiterer Angriffsvektor. Zwei aktuelle Ergebnisse zeigen deutlich, wie die native Funktionalität von Programmen gegen sich selbst eingesetzt werden kann.
Am Donnerstag sprachen Experten von Mimecast, einem Unternehmen für Cyber-Bedrohungen, darüber, wie die in Excel integrierte Power Query-Funktion zum Angriff auf Betriebssystemebene verwendet werden kann. Power Query sammelt automatisch Daten aus bestimmten Quellen wie Datenbanken, Tabellenkalkulationen, Dokumenten oder Websites und fügt sie in eine Tabelle ein. Diese Funktion kann auch zum Nachteil verwendet werden, wenn die verlinkte Website eine schädliche Datei enthält. Durch das Senden solcher speziell vorbereiteten Tabellen hoffen Hacker, irgendwann Rechte auf Systemebene und / oder die Möglichkeit zu erhalten, Hintertüren zu installieren.
"Angreifer müssen nichts erfinden, sondern nur Microsoft Excel öffnen und ihre eigenen Funktionen verwenden", sagt Meni Farjon, CEO von Mimecast. „Diese Methode ist auch für alle 100 zuverlässig. Der Angriff ist für alle Excel-Versionen relevant, einschließlich der neuesten, und wird wahrscheinlich für alle Betriebssysteme und Programmiersprachen funktionieren, da es sich nicht um einen Fehler handelt, sondern um die Funktion des Programms selbst. Für Hacker ist dies ein vielversprechender Bereich. “
Fargejon erklärt, dass Angreifer Dynamic Data Exchange verwenden können, sobald Power Query eine Verbindung mit einer gefälschten Site herstellt. Über dieses Protokoll in Windows werden Daten zwischen Anwendungen ausgetauscht. Normalerweise sind die Rechte der Programme stark eingeschränkt, und DDE fungiert als Vermittler für den Austausch. Angreifer können DDE-kompatible Anweisungen für den Angriff auf die Site hochladen, und Power Query lädt sie automatisch in die Tabelle hoch. Auf die gleiche Weise können Sie andere Arten von Malware herunterladen.
Bevor die DDE-Verbindung hergestellt wird, muss der Benutzer den Vorgang akzeptieren. Und die meisten Benutzer stimmen allen Anfragen zu, ohne zu schauen. Dank dessen ist der Prozentsatz erfolgreicher Angriffe hoch.
Im "Sicherheitsbericht" 2017 hat Microsoft bereits Lösungen angeboten. Deaktivieren Sie beispielsweise DDE für bestimmte Anwendungen. Die von Mimecast erkannte Art des Angriffs beschreibt jedoch die Codeausführung auf Geräten, auf denen DDE nicht deaktiviert werden kann. Nachdem das Unternehmen die Sicherheitsanfälligkeit im Juni 2018 gemeldet hatte, antwortete Microsoft, dass es nichts ändern werde. Farjon sagt, dass sie ein ganzes Jahr gewartet haben, bevor sie der Welt von dem Problem erzählt haben, in der Hoffnung, dass Microsoft seine Position ändern würde. Obwohl es noch keine Beweise dafür gibt, dass diese Art von Angriff von Angreifern verwendet wird, ist es aufgrund der Art ihres Verhaltens schwierig, dies zu bemerken. "Höchstwahrscheinlich werden Hacker diese Gelegenheit leider nutzen", sagt Farjon. "Dieser Angriff ist einfach zu implementieren, billig, zuverlässig und vielversprechend."
Darüber hinaus warnte das Microsoft-eigene Sicherheitsteam letzte Woche alle, dass Cyberkriminelle aktiv eine andere Excel-Funktion verwenden, mit der sie auch mit den neuesten installierten Patches auf das System zugreifen können. Diese Art von Angriff verwendet Makros und zielt auf koreanische Benutzer ab. Makros sind weit vom ersten Jahr entfernt und bringen eine Reihe von Problemen für Word und Excel mit sich. Sie sind eine Reihe programmierbarer Anweisungen, die die Arbeit nicht nur erleichtern, sondern auch erschweren können, wenn sie nicht in einem von den Entwicklern konzipierten Szenario verwendet werden.
Es ist klar, dass Office 365-Benutzer immer mehr neue Funktionen sehen möchten, aber jede neue Komponente des Programms birgt potenzielle Risiken. Je komplexer das Programm ist, desto mehr potenzielle Angriffsmethoden für Hacker. Microsoft sagte, dass Windows Defender solche Angriffe verhindern kann, weil es weiß, worauf zu achten ist. Die Mimecast-Funde dienen jedoch als zusätzliche Erinnerung daran, dass es immer Problemumgehungen gibt.
"Der Einstieg in das Netzwerk eines Unternehmens wird schwieriger, wenn Sie traditionelle Methoden anwenden", sagt der leitende Sicherheitsbeamte Ronnie Tokazowski von Email Security, Agari. "Wenn Sie für einen erfolgreichen Angriff nicht einmal etwas brechen müssen, gehen Sie den Weg des geringsten Widerstands weiter, und die Windows-Version spielt keine Rolle."
Laut Microsoft können sowohl Makros als auch Power Query auf Administratorebene problemlos verwaltet werden. Mit Gruppenrichtlinien können Sie das Verhalten für alle Geräte in Ihrer Organisation gleichzeitig konfigurieren. Wenn Sie jedoch die integrierte Funktion aus Gründen der Benutzersicherheit deaktivieren müssen, stellt sich die Frage: "Wird sie benötigt?"