Dass Office-Dokumente Schadcode in Gestalt von Makros enthalten können, ist mittlerweile den meisten Anwendern bewusst. Nun haben Sicherheitsforscher von Mimecast auf eine weitere, bislang wesentlich weniger beachtete Angriffstechnik hingewiesen. Potenziell anfällig sollen die Excel-Versionen 2016 und 2019 sowie ältere Versionen mit nachgerüstetem "Power Query"-Add-in sein.

Den Forschern gelang es nach eigenen Angaben, Excel-Dokumente so zu präparieren, dass sie, sobald sie auf dem Zielrechner geöffnet wurden, Schadcode von einem entfernten Server nachluden und ausführten. Im Unterschied zu Makros ist das hierzu genutzte Feature "Power Query" aber nicht standardmäßig deaktiviert. Und anders als bei Makros ist unter bestimmten Voraussetzungen laut Mimecast auch keine weitere Interaktion des Nutzers in Gestalt eines Doppelklicks im Dokument notwendig.

In einem Blogeintrag beschreiben die Forscher die Angriffstechnik, die – anders als sie selbst beteuern – allerdings keineswegs eine Excel-"Schwachstelle" ausnutzt. Vielmehr setzt das Mimecast-Team mit einem Trick ein in der aktuellen Excel-Version 2016 neu hinzugekommenes Sicherheits-Feature außer Kraft und bedient sich zusätzlicher (auf Power Query fußender) Anti-Analyse-Strategien, um unter dem Radar von AV-Programmen und Sandboxes zu fliegen.

Excel hebelt seinen eigenen Schutzmechanismus aus

Microsoft selbst beschreibt Power Query als "Datenverbindungstechnologie", mit der man "Datenquellen ermitteln, verbinden, kombinieren und optimieren" kann. Um Daten aus externen Quellen in Excel-Sheets zu laden, nutzt Power Query das so genannte Dynamic Data Exchange (DDE)-Protokoll.

DDE-Exploits sind nichts Neues: Bereits zum Windows-Patchday im Dezember 2017 veröffentlichte Microsoft ein Office-Update, dass DDE in Word aus Sicherheitsgründen vollständig deaktivierte. Im Widerspruch dazu scheint die Tatsache zu stehen, dass das (DDE-basierte) Power Query in Excel seit Version 2016 zu den Standardfunktionen zählt. Für Excel 2010 oder 2013 ist das Feature mittels Add-ins nachrüstbar.

Seit Excel 2016 erfordert das Nachladen von Inhalten via Power Query eine Nutzerinteraktion in Gestalt eines Doppelklicks auf die Tabellenzelle, in die sie eingefügt werden sollen. Mimecasts Analyse zufolge war diese Betätigung in früheren Office-Versionen aufgrund einer abweichenden Implementierung der Power-Query-Funktion nicht notwendig: Die Inhalte wurden ohne Doppelklick dynamisch nachgeladen, sobald ein Nutzer das Dokument öffnete.

Auf Anfrage von heise Security erläuterte Mimecast-Mitarbeiter Meni Farjon, dass man den aktuellen Doppelklick-Mechanismus aushebeln könne, indem man das Excel-Dokument mit dem Power Query einfach mit einer älteren Excel-Version erzeuge. Öffne das potenzielle Opfer es dann in Excel ab Version 2016, erfolge aufgrund der Abwärtskompatibilität keine Doppelklick-Aufforderung mehr.

Kreative Anti-Analyse-Mechanismen

Mittels Query Properties kann man die Payload-Auslieferung verzögern. (Bild: Mimecast)

Nach Überwinden dieser ersten (an sich lachhaften) Hürde standen die Forscher vor der Frage, wie man mittels Power Query Schadcode nachladen könnte, ohne den Nutzer durch Antiviren-Warnungen zu alarmieren. Das lösten sie, indem sie den HTTP-Requests, die die Power-Query-Funktion an den Server mit der Payload stellt, mittels Power Querys "Advanced Mode" einen spezifischen Anfrage-Header (Referer) hinzufügten. Nur wenn dieser vorhanden ist, verschickt der Payload-Server den Schadcode. Auf diese Weise laufen Testanfragen durch AV-Software ins Leere.

Der zweite Anti-Analyse-Mechanismus besteht in einer Verzögerungstaktik zum Erschweren der Schadcode-Analyse in einer Sandbox. Durch entsprechende Einstellungen des Advanced Mode wird die Payload erst nach 10 Minuten ausgeliefert. Eine Zeitspanne, die vor allem die automatisierte Analyse in Sandbox-Umgebungen wie etwas Hybrid-Analysis oder any.run bei weitem überschreitet.

Ein VirusTotal-Scan des von Mimecast erstellten Excel-Sheet mit dem enthaltenen Power Query zeigt, dass die Erkennungsrate durch die dort verfügbaren AV-Engines zur jetzigen Stunde bei 0 Prozent liegt.

Workarounds schützen vor möglichen Angriffen

Unterm Strich gelang Mimecast also ein erfolgeicher Proof-of-Concept-Angriff mittels Verkettung und Zweckentfremdung von Power Query nebst Konfigurationsmöglichkeiten.

Über Angriffe "in freier Wildbahn" mittels der beschriebenen Technik ist bislang nichts bekannt; dass sich Angreifer von Mimecasts Beschreibung inspirieren lassen, ist jedoch nicht unwahrscheinlich.

Laut Mimecast plant Microsoft keinen Fix. Wirksame Workarounds gegen DDE-Exploits hat Microsoft aber bereits 2017 veröffentlicht. Die in dem Sicherheitshinweis enthaltenen Hinweise decken sämtliche Office-Versionen ab und schützen nicht nur vor dem hier beschriebenen Power-Query-Szenario. Für Excel nennt Microsoft dort zwei Wege zum vollständigen Deaktivieren der DDE-Funktionalität: über die GUI oder die Registry. Das Unternehmen weist zugleich aber auch darauf hin, dass die Deaktivierung via Registry-Eintrag die Aktualität bestimmter Daten in Excel-Sheets beeinträchtigen könne, deren Aktualisierung dann immer manuell angestoßen werden müsse.

Mimecast rät dringend dazu, Microsofts Workarounds zu befolgen; zudem sollten Nutzer der Power-Query-Add-ins für ältere Excel-Versionen erwägen, diese wieder zu deinstallieren. (ovw)