Veiligheidsonderzoekers van het Londense bedrijf Mimecast hebben diverse functies van het rekenbladprogramma Excel van Microsoft zo gecombineerd dat daardoor een lek ontstond waardoor kwaadaardige progjes op de bijbehorende computer kunnen worden gezet. Microsoft reageert: je kunt die functie (DDE) ook uitzetten.
Om dat soort programmatuur op computers te zetten hebben de aanvallers drie dingen nodig: een onverdacht bestand als deuropener, een argeloze gebruiker die die deur opent en een manier om de binnengesluisde progjes te maskeren voor antivirusprogramma’s en andere beveiligingsmaatregelen. Het Londense bedrijf Mimecast ontwikkelde een slimme aanvalstechniek met als toegangspoort Excel (dus).
De kwetsbaarheid van dit rekenbladprogramma zit hem in de Power-Query-functie. Daarmee kun je de kolommen vullen met gegevens uit andere bronnen zoals databanken. Dat gebeurt dynamisch. Dat wil zeggen dat elke keer als het programma verbinding heeft met een gegevensbron die gegevens in Excel worden bijgewerkt. Dat is handig voor allerlei zaken zoals het bijhouden van koersen. Het protocol dat daarvoor gebruikt wordt heet Dynamic Data Exchange (DDE)
DDE-aanvallen zijn er al jaren. Onder meer de trojaan Locky werd zo verspreid. Excel is ook als ‘deuropener’ niet nieuw. De kwaadaardige code werd direct in het Excel-bestand gezet, maar Mimecast doet dat anders waardoor de aanval aanzienlijk krachtiger wordt (en dus meer kans op succes heeft).
120 miljoen mogelijke slachtoffers
Volgens Meni Farjon van Mimecast gebruiken zo’n 120 miljoen computers Excel, maar dat is een schatting van Google. Volgens Microsoft moest de Power-Query-functie tussen 2010 en 2013 als extra worden binnengehaald en geïnstalleerd. Sedert 2016 is die functie in Excel geïntegreerd en standaard actief als ophalen & transformeren.
Verloop
Uitgangspunt voor de aanvaller is een Excelbestand zonder kwaadaardige software met maar een geïntegreerde Power-Query-functie. Het slachtoffer moet dat bestand openen. Het maakt niet uit of het bestand via meel of via een webstek wordt aangeboden. Het mooist is natuurlijk het bestand mee te sturen in een bericht dat het slachtoffer verwacht, maar het is inmiddels bekend dat mensen op van alles en nog wat klinken zonder te beseffen wat daarbij fout kan gaan.
DDE en Power Query zijn normale functies van Excel en daarom is het bijwerken van dat bestand niet ongewoon. Maar dat is het moment dat de schadelijke programmatuur zelf (naar keuze van de aanvaller) wordt overgezet op de harde schijf van het slachtoffer. Dat moet de gegevensinvoer nog wel eerst goedkeuren, maar dat moet de computerbediener ook als het om legitieme overdracht gaat. Zelfs die stap is door de aanvaller te omzeilen met een eenvoudig commando.
Virusprogramma’s
Deze aanval schijnt ontzettend lastig te ontdekken te zijn. Ten eerste hoeft de ‘deuropener’ niet op de harde schijf van het doelwit te worden gezet. Die wordt elke keer weer opgehaald en in het Excelbestand geladen als dat wordt geopend. Daarnaast kan de aanvaller Power Query zo instellen dat de schapen van de bokken worden gescheiden: gewone antivirusprogramma’s tegen zwaardere beveiligingsmaatregelen. In het tweede geval wordt het kwalijke progje niet eens ‘geleverd’.
Mimecast heeft zijn aanval met allerlei beveiligingssystemen uitgeprobeerd. Het bleek dat van de 30 geteste programma’s er geen een de besmetting van het Excelbestand ontdekte. Overigens kan de aanval in theorie wel degelijk worden gestopt. Dat kan als de kwalijke progjes actief zijn op de besmette computer.
Mimecast heeft, uiteraard, Microsoft ingelicht over het lek, maar het Amerikaanse bedrijf wil dat niet dichten. Microsoft wijst er op dat DDE in Excel kan worden gedeactiveerd. Microsoft ziet dit lek niet als veiligheidsprobleem. Volgens Farjon zou het lek nog niet misbruikt zijn, maar hij vermoedt dat dat wel degelijk zal gebeueren. Te verleidelijk. Gij Excelgebruiker zijt gewaarschuwd.
Bron: der Spiegel