2min

Tags in dit artikel

, ,

Security-onderzoekers van Mimecast hebben een kwetsbaarheid ontdekt in Power Query, een functie in Microsoft Excel, die 120 miljoen gebruikers blootstelt aan een mogelijke aanval. Een patch is nog niet beschikbaar.

Power Query is een tool voor business intelligence, waarmee gebruikers hun Excel-spreadsheets kunnen integreren met andere gegevensbronnen, zoals een externe database, tekstdocument of andere spreadsheet. Wanneer bronnen worden gekoppeld, kunnen gegevens worden geladen en opgeslagen in de spreadsheet, of dynamisch worden geladen, bijvoorbeeld wanneer het document wordt geopend.

Het lek in Power Query kan worden misbruikt om dynamisch vanop afstand een Dynamic Data Exchange (DDE)-aanval te starten in een Excel-spreadsheet en actief de payload te beheren. Volgens Mimecast zijn ook meer geavanceerde aanvallen nodig, die moeilijk te detecteren zijn en verschillende aanvalsoppervlakken combineren.

“Met Power Query kunnen aanvallers kwaadaardige inhoud insluiten in een afzonderlijke gegevensbron en vervolgens de inhoud in de spreadsheet laden wanneer deze wordt geopend. De schadelijke code kan worden gebruikt om malware te droppen en uit te voeren die de computer van de gebruiker in gevaar kan brengen”, illustreren de onderzoekers van Mimecast in een blogpost.

Sandbox omzeilen

De functie biedt zo’n uitgebreide mogelijkheden dat het zelfs kan worden gebruikt om de sandbox van een slachtoffer te fingerprinten, zelfs voordat een payload wordt afgeleverd. “De aanvaller heeft de mogelijkheid om een malware-payload bij het slachtoffer af te leveren, terwijl het bestand er onschadelijk uitziet voor een sandbox of andere beveiligingsoplossing”, aldus de onderzoekers.

De kwetsbaarheid is zorgwekkend omdat Power Query standaard ingeschakeld is in Excel. Microsoft lijkt evenwel al langer op de hoogte te zijn van het probleem. In november 2017 publiceerde het een security-advies met workarounds, waaronder de aanbeveling om de DDE-functie uit te schakelen wanneer dit niet nodig is. Een patch is er evenwel nog niet en het is ook niet bekend of Microsoft er reeds aan werkt.

Het goede nieuws is dat Mimecast geen gevallen heeft gevonden waarbij de kwetsbaarheid in het wild wordt misbruikt, al zou dat snel kunnen veranderen nu de informatie publiek is gemaakt. “Mimecast raadt ten sterkste aan dat alle Microsoft Excel-klanten de door Microsoft voorgestelde oplossingen implementeren, aangezien de potentiële bedreiging voor deze Microsoft-gebruikers reëel is en de exploit schadelijk kan zijn”, besluiten de onderzoekers in hun rapport.