ComputerBase Menü
Aktuelles

Virus per "Excel Sharing" ?

T

Tanzmusiker

Cadet 1st Year
Registriert
Juni 2014
Beiträge
11
Hallo zusammen,
möglicherweise eine Noob-Frage, nachdem ich heute aber eine Weile mit einem Freund darüber diskutiert habe, bin ich doch unsicher :)

Ausgangslage: Eine Excel-Datei (ohne Makros oder dergleichen) befindet sich im OneDrive und wird per "Teilen"-Funktion für mehrere Dritte freigegeben. Können damit...

a) Viren/Trojaner etc. auf den Rechnern der Zugreifenden eingeschleust werden, sobald diese die Datei bearbeiten?
b) der hostende Rechner befallen werden, wenn einer der Zugreifenden ein kompromittiertes System hat?


Beste Grüße
 
Es sind nur alle Formate eine Gefahr, die irgendwie Drittcode starten können. Das sind alle Office-Programme mit VB und Makros, oder Packer, die veraltete Libs unterstützen, z.B. WinRar und ACE
https://www.computerbase.de/news/apps/ace-format-kritische-luecke-winrar.66800/
Oder hier eben Excel und DDE
https://www.spiegel.de/netzwelt/web...et-millionen-nutzer-und-firmen-a-1274537.html
Emotet:
https://www.dfn-cert.de/aktuell/malicious-macros-emotet.html
So ist Emotet bei Heise reingekommen, über ein Office Dokument.
Älter:
https://www.t-online.de/digital/sic...infiziert-tausende-pcs-mit-excel-dateien.html

Sobald sie nichts ausführen können, sind sie harmlos. Meines Wissens nach fragt heute Excel explizit vorher immer an, ob ein Makro gestartet werden soll. Somit ist der Start bis dahin ungefährlich. Spätestens dann sollte Brain.exe einsetzen und hier diese Anfrage nicht bestätigen, wenn nichts weiter über diese Datei bekannt ist.

Und vor allen Dingen sollte man stets sein Office patchen bzw. auf aktuelle Versionen setzen. Mir wirds immer ganz anders, wenn hier Leute noch mit Office 2003 usw. arbeiten.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: AB´solut SiD und Tanzmusiker
Da keine Makros eingebaut sind, sollte das nach meiner Ansicht "safe" sein - Frage war eben auch, ob etwaige Malware auf einem der Rechner auf die anderen überspringen kann, wenn alle gleichzeitig in der Datei angemeldet sind.

Aber das würde wohl bedeuten, dass Malware aktiv eine Excel-Datei bearbeitet und ein Makro einbaut, was vermutlich sehr weit hergeholt ist.
 
Wenn die Datei z.B. SteffiGrafAngezogen.xlsx.exe heisst, die Anzeige der Dateierweiterungen ausgeschaltet ist, der Freund das Dingens per Doppelklick anwirft und die AV pennt passiert schon was.
 
Zuletzt bearbeitet: (Typo)
  • Gefällt mir
Reaktionen: GaborDenes, Drewkev, PHuV und eine weitere Person
Tanzmusiker schrieb:
Da keine Makros eingebaut sind, sollte das nach meiner Ansicht "safe" sein - Frage war eben auch, ob etwaige Malware auf einem der Rechner auf die anderen überspringen kann, wenn alle gleichzeitig in der Datei angemeldet sind.
Zum Vergrößern anklicken....
Natürlich. Nochmals, sobald eine Anwendung mit einer solchen Datei irgendwie Code ausführen kann, und jeder, der gerade darauf zugreift, sie entsprechend startet, wird bei jedem lokal (über sein Gerät) die Programmausführung ermöglicht.
 
  • Gefällt mir
Reaktionen: Drewkev, Tanzmusiker und BFF
Hm. Sollte man differenzierter sehen.

Moderne XLSX Dateien sind Container, die diverse verschiedene Dateien, unterschiedlicher Typen beinhalten.
Ich habe mit XLSX jetzt nie angesehen, aber wenn ich an vergleichbare Dateitypen Denke, werden da vermutlich bspw. Eingebundene Dateien wie Bilder und Musik herumliegen u.u konvertiert, dazu XML Dateien, evenntuell noch Vorschaubilder.
Welche Komponenten nutzt Excel nun um Bilder zu lesen? Wann und wie werden Bilder durch Excel umgewandelt?
So ziemlich jedes Programm, welches Medien handlen kann, kann durch diese kompromitiert werden. Bei Imagemagick / ffmpeg ist das recht gut dokumentiert. Viele Dateiformate in dem Bereich haben viele Areale, die von den jeweiligen Leseprogrammen meist ignoriert werden. DOrt kann man jedoch ganz wunderbare Geschenke verstecken :)
Ich bin zu muede um zu formulieren was ich sagen will. Hier mal ab der markierten Stelle bis 16:30 schauen:
https://media.ccc.de/v/31c3_-_5930_...0_-_funky_file_formats_-_ange_albertini#t=830
sind overall ca 2 Minuten. Was danach kommt lohnt aber auch

Wann ruft excel hinterlegte URIs auf (Erst beim Click, oder um schonmal was zum cachen zu haben schon im Vorfeld? Kontext -> https://positive.security/blog/ms-officecmd-rce )


Ist es moeglich: Sure. Angriffsflaeche existiert massig. Ich habe mich da jetzt stark auf Medien beschraenkt. Aber es gibt da noch die Webkomponenten, Datenbankanbindunen.. etc.


Viren in CSV Dateien: Heute sehr unwahrscheinlich
Viren in einfachen XLSX Dateien: Definitiv realistisch
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: BFF
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz