I Query the Power: Neue Angriffe auf Excel

Veröffentlicht Veröffentlicht in Kurzmeldungen

Excels Power-Query-Feature kann über das Uraltprotokoll DDE (Dynamic Data Exchange) Dateien von Remote-Quellen importieren. Damit lässt sich auch bösartiger Code in ein System einschleusen – schwer zu erkennen für den Nutzer, da kaum Interaktion notwendig ist. Den Forschern von Mimecast gelang damit die Umgehung der Sandbox, die per E-Mail versandte Dokumente analysieren soll, bevor Nutzer sie öffnen. Normalerweise müsste der Nutzer DDE per Doppelklick in eine Zelle und einen weiteren Klick erlauben – nicht aber, wenn der Angreifer das bösartige Dokument in einer älteren Version von Office erstellt. In Word ist DDE wegen ähnlicher Probleme schon seit 2017 deaktiviert.

https://www.mimecast.com/blog/2019/06/exploit-using-microsoft-excel-power-query-for-remote-dde-execution-discovered/