Microsoft Excel Schwachstelle lässt Schadsoftware durch – Millionen Nutzer betroffen

Microsoft Excel Schwachstelle lässt Schadsoftware durch – Millionen Nutzer betroffen

Schadsoftware bei Excel

Gängige Antivirenprogramme sind machtlos

Zwei Eigenheiten sorgen darüber hinaus dafür, dass die Angriffstechnik extrem schwierig zu entdecken ist. Zum einen muss der Türöffner nicht im Zielsystem verankert werden. Stattdessen wird er jedes Mal aus dem Internet in die Excel-Datei geladen, wenn diese wieder geöffnet wird. Zum anderen können Angreifer die Power Query so formulieren, dass sie normale Nutzer von Antivirensoftware und anderen Sicherheitsmechanismen unterscheidet.

Die Schadsoftware wird im zweiten Fall gar nicht erst ausgeliefert.

Die Firma Mimecast hat seinen Angriff mehrfach gegen zahlreiche bekannte IT-Sicherheitslösungen getestet, mit vernichtendem Ergebnis: Von 30 Schutzprogrammen erkannte kein einziges, dass die Test-Excel-Datei eine Infektion mit sich brachte.

Natürlich will das Unternehmen seine eigene Sicherheitslösung verkaufen, die es besser macht. Damit ist jedoch nicht gesagt, dass andere fortschrittliche Produkte mit Echtzeit-Code-Analysen nicht ebenso hilfreich sein können. Außerdem kann der eigentliche Angriff theoretisch immer noch gestoppt werden, wenn die nachgeladene Schadsoftware im Zielsystem aktiv wird.

Um eine Schadsoftware – sei es ein Erpressungstrojaner oder ein Spionageprogramm – von außen in ein Firmennetzwerk zu schleusen, brauchen Kriminelle wenigstens drei Dinge:

  1. eine möglichst unverdächtige Datei als Türöffner,
  2. einen arglosen Nutzer, der sie öffnet, und
  3. einen Weg, den Pfad der Schadsoftware vor Antivirenprogrammen und anderen Sicherheitsfunktionen zu verbergen.

Sicherheitsforscher der Firma Mimecast mit Sitz in London haben eine clevere Angriffstechnik entwickelt, die sich dafür bestens eignet. Ihr Einfallstor ist Microsoft Excel.

Die Schwachstelle in dem Tabellenkalkulationsprogramm ist die sogenannte Power-Query-Funktion. Sie ermöglicht es, Excel-Tabellen dynamisch mit anderen Datenquellen zu füttern, zum Beispiel mit externen Datenbanken oder auch Websites.

Dynamisch bedeutet:

Die Excel-Tabelle kann sich jedes Mal, wenn sie geöffnet wird, die aktuellen Daten der externen Quelle holen und sich damit selbst aktualisieren. Das ist sinnvoll, wenn die Tabelle zum Beispiel Wechselkurse beinhalten soll. Das zugrundeliegende Protokoll heißt Dynamic Data Exchange, kurz DDE.

 

Mimecast geht von 120 Millionen gefährdeten Computern aus

DDE-Attacken gibt es schon seit Jahren, der berüchtigte Erpressungstrojaner Locky etwa wurde damit verbreitet. Auch Excel als Ziel für derartige Angriffe ist nicht neu, der Schadcode wurde in bisherigen Szenarien allerdings als Formel direkt in der Excel-Datei verpackt. Mimecast erweitert den bisherigen Ansatz an mehreren Stellen. Meni Farjon aus der Abteilung für Advanced Threat Detection sagte dem SPIEGEL, man habe „das Ausmaß der Bedrohung multipliziert“.

Farjon geht von rund 120 Millionen potenziell gefährdeten Nutzern weltweit aus. Die Zahl ist jedoch nur eine Schätzung und beruht zum Teil auf Google-Ergebnissen nach der Verbreitung von Excel. Laut Microsoft muss Power Query für Excel 2010 und 2013 in Form eines Add-ins heruntergeladen und installiert werden, seit Excel 2016 ist sie als „Abrufen und Transformieren“ bereits integriert und standardmäßig aktiv.

Der Angriff läuft so ab:

Ausgangspunkt ist eine Excel-Datei des Angreifers, „die selbst keine Schadsoftware enthält“, wie Farjon betont, sondern nur eine integrierte Power Query, also die Bitte um Aktualisierung mit Daten aus dem Internet bei jedem Öffnen der Datei. Das Opfer muss dazu gebracht werden, diese Datei zu öffnen, wobei es keine Rolle spielt, ob sie per E-Mail kommt oder auf einer Website abgelegt ist.

Dass jemand so eine Datei arglos öffnet, ist genauso wahrscheinlich wie bei jedem anderen Angriff: Der Anreiz muss nur gut genug sein, zum Beispiel wenn die Excel-Datei in einer E-Mail steckt, die das Opfer erwartet hat.

Quelle:

Den ganzen Artikel lesen Sie hier unter Spiegel-online.de – https://www.spiegel.de/netzwelt/web/microsoft-excel-schwachstelle-gefaehrdet-millionen-nutzer-und-firmen-a-1274537.html

 

 

Nutzen Sie unseren CNE-Service im Bereich

Datensicherheit und -Beratung unter 0201 – 17 1919 7

Ihre
CNE – Computer- und Netzwerktechnik Essen

Computer und Netzwerktechnik Essen Sascha Müller

Brauchen Sie Hilfe oder Unterstützung?

Dann nehmen Sie hier Kontakt auf oder benutzen Sie das nachfolgende Formular. Die Angabe der Emailadresse ist erforderlich, die Angabe Ihrer Telefonnummer nur optional, jedoch hilfreich, um Ihre Fragen schnell beantworten zu können. Optimal ist die Angabe Ihrer Mobilrufnummer.

Wir geben keine Daten an Dritte weiter.

Sichere Kontaktaufname

Hinweis: Bitte lesen Sie VOR dem Absenden die Datenschutzerklärung

15 + 14 =

Entschlüsselung für den Erpressungstrojaner MegaLocker/NamPoHyu verfügbar

Entschlüsselung für den Erpressungstrojaner MegaLocker/NamPoHyu verfügbar

Gratis-Entschlüsselungstool für aktuelle Ransomware veröffentlicht

Vor kurzem Sicherheitstechniker des Herstellers von Anti-Viren-Software Emsisoft ein Gratis-Entschlüsselungstool für eine aktuelle Ransomware veröffentlicht und damit potentiellen Opfern des Verschlüsselungstrojaners MegaLocker/NamPoHyn eine Möglichkeit eröffnet.

Samba-Server im Visier

Wer auf seinem Computer mit der Dateiendung „.nampohyu“ versehene verschlüsselte Dateien vorfindet, sollte sich den Emsisoft Decrypter for MegaLocker herunterladen. Der Schädling hat es seit Mitte April 2019 auf Samba-Server abgesehen.

Insbesondere in den Vorstandsetagen oder bei der Geschäftsleitung – so oft der Vorwurf, meint man nur zu gerne, ausgerechnet an der IT-Ausstattung, -Betreuung und -Sicherheit sparen zu können. Es sind dann immer schlicht die User, die dann unvorsichtig waren oder trotz diverser Hinweise Fehler machen. Man kann auch nicht von jedem erwarten, dass er oder sie mit allen EDV-Wassern gewaschen sind und ständig die neuesten Bedrohungen verfolgen.

Mittlerweile sind insbesondere im Mailbereich einige Fallen so gut gemacht, dass man auch als gewiefter Anwender wirklich sehr genau hinschauen muss.

Das Besondere an MegaLocker ist, dass Angreifer den Trojaner lokal auf dem eigenen Computer laufen lassen und angreifbare Server aus der Ferne verschlüsseln. Um Zugriff zu bekommen, scannen sie nach ungeschützten Samba-Server scannen und rekonstruieren durch Brute-Force-Attacken die erforderlichen Passwörter.

Wie man die Dateien entschlüsseln kann

Damit das Tool funktioniert, müssen von der Ransomware Betroffene über eine Erpresserbotschaft verfügen –  die entsprechende Datei liegt im TXT-Format in mehrfacher Form über den ganzen Computer verteilt vor. Auf Basis dieser Datei kann das Tool den Schlüssel für betroffene Daten errechnet werden. Anschließend wählt man Ordner mit verschlüsselten Dateien aus und startet mit einem Klick auf die Schaltfläche „Start“ den Entschlüsselungsprozess.

Die Malware-Entwickler sind frustriert

Ein genereller Tipp für Ransomware-Opfer ist, verschlüsselte Dateien aufzubewahren. Wie in diesem Fall erscheinen oft nach einigen Wochen oder Monaten kostenlose Entschlüsselungstools.

Einen weiteren Artikel mit Links finden Sie hier bei Heise:
https://www.heise.de/security/meldung/Entschluesselungstool-fuer-Erpressungstrojaner-MegaLocker-NamPoHyu-verfuegbar-4415835.html

Nutzen Sie unseren CNE-Service im Bereich

Datensicherheit und Service unter 0201 – 17 1919 7

Ihre
CNE – Computer- und Netzwerktechnik Essen

Computer und Netzwerktechnik Essen Sascha Müller

Brauchen Sie Hilfe oder Unterstützung?

Dann nehmen Sie hier Kontakt auf oder benutzen Sie das nachfolgende Formular. Die Angabe der Emailadresse ist erforderlich, die Angabe Ihrer Telefonnummer nur optional, jedoch hilfreich, um Ihre Fragen schnell beantworten zu können. Optimal ist die Angabe Ihrer Mobilrufnummer.

Wir geben keine Daten an Dritte weiter.

Sichere Kontaktaufname

Hinweis: Bitte lesen Sie VOR dem Absenden die Datenschutzerklärung

14 + 5 =

Computersabotage und Erpressung nehmen zu

Computersabotage und Erpressung nehmen zu

Immer mehr Unternehmen müssen sich mit den Folgen von Angriffen auf ihre IT-Infrastruktur herumschlagen. Zwar hat das Bewusstsein um die Gefahren zugenommen, allerdings auch die Bösartigkeit der Attacken.

Die Unternehmen schätzen das Risiko, dass ihre IT-Infrastruktur angegriffen wird, als hoch ein. KPMG vermutet zudem eine hohe Dunkelziffer. Vergrößern
Bild: KPMG 2017
Über ein Drittel aller Unternehmen in Deutschland bekamen es in den vergangenen zwei Jahren mit Cyberkriminellen zu tun. Immer mehr werden dabei Opfer von Computersabotage und Systembeschädigungen – oft mit anschließender Erpressung. In knapp der Hälfte der Fälle ziehen die betroffenen Firmen daraus keine Konsequenzen, was dazu führt, dass jeder zweite Täter ungeschoren davonkommt. Das hat die Unternehmensberatung KPMG in ihrer „E-Crime Studie 2017“ festgestellt [PDF-Link]. Befragt hat sie dazu mehr als 500 repräsentativ nach Branche und Umsatz ausgewählte Unternehmen in Deutschland.

Mehr Informationen unter heise.de

Neue Trollware nervt Computer und deren Nutzer

Was ist der Unterschied zwischen Malware und Trollware?

Das eine ist extrem gefährlich und das andere extrem nervig.

Der Computer-Schädling Cancer hat es auf Windows-Systeme abgesehen, verrichtet nach einer Infektion aber kein verheerendes Schadenswerk wie etwa ein Erpressungs-Trojaner, berichtet der Sicherheitsforscher MalwareHunter via Bleepingcomputer.com. Der Infektionsweg ist aktuell unbekannt.

 

Mehr Informationen

Den ganzen Artikel lesen sie unter dem nachfolgenden Link:
https://www.heise.de/security/meldung/l-f-Trollware-macht-Computer-und-Opfer-meschugge-3618964.html