Spiegel Online berichtet:
Microsoft Excel: Schwachstelle gefährdet Millionen Nutzer und Firmen - SPIEGEL ONLINE
Zitat aus dem Spiegel-Artikel:
"Gängige Antivirenprogramme sind machtlos
Zwei Eigenheiten sorgen darüber hinaus dafür, dass die Angriffstechnik extrem schwierig zu entdecken ist. Zum einen muss der Türöffner nicht im Zielsystem verankert werden. Stattdessen wird er jedes Mal aus dem Internet in die Excel-Datei geladen, wenn diese wieder geöffnet wird.
Zum anderen können Angreifer die Power Query so formulieren, dass sie normale Nutzer von Antivirensoftware und anderen Sicherheitsmechanismen unterscheidet. Die Schadsoftware wird im zweiten Fall gar nicht erst ausgeliefert.
Mimecast hat seinen Angriff mehrfach gegen zahlreiche bekannte IT-Sicherheitslösungen getestet, mit vernichtendem Ergebnis: Von 30 Schutzprogrammen erkannte kein einziges, dass die Test-Excel-Datei eine Infektion mit sich brachte. Natürlich will das Unternehmen seine eigene Sicherheitslösung verkaufen, die es besser macht. Damit ist jedoch nicht gesagt, dass andere fortschrittliche Produkte mit Echtzeit-Code-Analysen nicht ebenso hilfreich sein können. Außerdem kann der eigentliche Angriff theoretisch immer noch gestoppt werden, wenn die nachgeladene Schadsoftware im Zielsystem aktiv wird."
Auf MimeCast.com gibt es eine technisch etwas ausgefeiltere Beschreibung des Exploits:
Microsoft meint das hier offenbar tatsächlich ernst: TOCTitle: 4053440Title: Microsoft Security Advisory 4053440ms:assetid: 4053440description: Microsoft is releasing this s…
da ich absolut keine Lust habe, Opfer von bereits bekannten oder (noch) unbekannten Sicherheitslücken und/oder Angriffstechniken in MS Office-Programmen zu werden, habe ich inzwischen per Registry-Eintrag sämtliche 'gefährlichen' Original-MS-Office-Dateiformate kanzleiweit für den Outlook-E-Mail-Empfang blockiert.
Wenn man (aus welchen Gründen auch immer) MS-Office-Dateien, z.B. Excel-, Word- oder PowerPoint-Dateien, versenden will, muss man eben mit Umbenennungen arbeiten. Der Empfänger kann dann aber solche E-Mail-Anlagen nicht versehentlich per Doppelklick öffnen.
Ich bin der Meinung, dass Microsoft sich hier bewusst mit Stellungnahmen und Warnungen zurückhält, da man die eigenen Produkte nicht als potenziell gefährlich deklarieren will. Das würde den Ruf schädigen.
Viele Grüße
Michael Vogtsburger
Nachtrag:
... was jetzt noch fehlt, ist eine 'Sandbox', in der die per E-Mail oder per Datenträger erhaltenen MS Office-Dateien eine ausreichend lange Zeit getestet werden können
Nachtrag:... was jetzt noch fehlt, ist eine 'Sandbox', in der die per E-Mail oder per Datenträger erhaltenen MS Office-Dateien eine ausreichend lange Zeit getestet werden können
Das Feature gibt es seit W10 1903. Gibt zwar noch ein Problem wenn man mehrere Sprachen installiert hatte beim Upgrade, aber grundsätzlich gibt es diese Sandbox die ein virtuelles W10 im Container startet.