Sicherheitslücke in Excel-Funktion PowerQuery

Excel Add-In PowerQuery kann Schadsoftware einschleusen

IT-Sicherheitsforscher haben eine potentielle Sicherheitslücke in Microsoft Excel entdeckt. Betroffen ist das Add-In PowerQuery. Anwender sollten Sicherheitshinweise von Microsoft umsetzen. Aber auch in Zeiten von Big Data beginen Attacken mit der Unachtsamkeit von Nutzern.

Das Excel Add-In PowerQuery kann zum Einschleusen von Schadcode ausgenutzt werden. Davor warnen Sicherheitsexperten des Cloudanbieters Mimecast in einem Blogeintrag des Unternehmens. Mit Power Query lassen sich Daten über das Protokoll Dynamic Data Exchange (DDE) aus externen Quellen in Excel-Dokumente laden. Dieser Prozess verläuft also dynamisch. Das bedeutet, dass die Daten bei jedem Öffnen des Dokumentes neu geladen werden. Die Forscher von Mimecast entdeckten, dass sich auf diesem Weg Schadcode aus externen Quellen in ein Excel Sheet laden lässt. Dieses Programm kann dann weitere Schadsoftware nachladen. Dies geschehe unbemerkt von Sicherheitssoftware, die darin nur eine harmlose Datei erkenne, schreiben die Forscher im Mimecast Blog.

Sicherheitstipps für Excel und Power Query


Im Microsoft Security Advisory 4053440 rät der Excel-Hersteller, das dynamische Nachladen von Daten zu unterbinden. Dies könne über die Registry von Windows geschehen. Allerdings können Eingriffe in die Registry dazu führen, dass Windows unbrauchbar wird und neu installiert werden muss. Ein Sicherheits-Update von Microsoft (ADV170021) soll in betroffenen Excel-Versionen eine Funktionalität einfügen, mit der Nutzer die DDE-Funktion in Excel abschalten können. In jedem Fall sollten Nutzer dann jedoch darauf achten, dass sie die Daten in ihren Excel Sheets manuell aktualisieren. Andernfalls kann es passieren, dass der Controller mit veralteten Daten arbeitet.

Die erfolgreiche Attacke auf das Big-Data-Tool von Excel begann übrigens mit einem sehr altmodischen ersten Schritt. Der Empfänger muss eine an ihn geschickte Excel-Datei öffnen. Unternehmen mit strengen Vorgaben für das Öffnen von Dateianhängen aus unbekannten Quellen können Angriffe unterbinden, bevor sie gezwungen sind, das dynamische Nachladen von Daten durch PowerQuery in Excel abschalten zu müssen.

Erstellt von (Name) W.V.R. am 03.07.2019
Geändert: 27.09.2019 08:25:33
Autor:  Wolff von Rechenberg
Quelle:  Mimecast Blog, exploit-using-microsoft-excel-power-query-for-remote-dde-execution-discovered, Microsoft Security Advisory 4053440
Bild:  panthermedia.net / adchariya chanpipat
Drucken RSS

Zum Schreiben eines Kommentars melden Sie sich bitte an. Kommentare werden vor Veröffentlichung redaktionell geprüft.

Smileys
schlafen  happy77  happy73 
Mr. Green  Skeptisch  Idee 
Frage  Ausrufezeichen  Zwinkern 
Böse  Weinen  Verlegen 
Kuss  Cool  Überrascht 
Traurig  Grinsen  Lachen 
denken  lesen  klatschen 

Nur registrierte Benutzer können Kommentare posten!


Excel-Vorlagen

Test OLAP – Online Analytical Processing

OLAP (Datenwürfel) soll anschauliche Visualisierung von Daten ermöglichen

Diese Analysen zeichnen sich durch ihre Multidimensionalität aus. Das bedeutet die Anordnung der verschiedenen Variablen oder Kennzahlen entlang unterschiedlicher Dimensionen – z.B. Umsatz in Bezug auf Kunde, Artikel, Region o.ä. Dem liegt die Idee der Trennung von unabhängigen und abhängigen Attributen zugrunde. Jedem unabhängigen Attribut wird dabei eine eigene Dimension zugewiesen; Werte von abhängigen Attributen ergeben sich dann aus den Wechselbeziehungen.

Die anschauliche Visualisierung der teils hochdimensionalen Datenpakete soll dabei das Verständnis erhöhen sowie das Datenlesen vereinfachen. Es erfolgt daher eine bildliche Darstellung als Würfel, wobei die Würfelkanten die unabhängigen Attribute darstellen. Der gebildete Datenwürfel zeigt dementsprechend die Werte eines abhängigen Attributes (z.B. Umsatz) in Relation zu z.B. drei unabhängigen Größen wie Produkt, Region, Zeit.

OLAP
Abb. multidimensionale Darstellung

Werden mehr als drei unabhängige Attribute genutzt, so erhält man einen sogenannten hyperdimensionalen Datenwürfel, der bildlich nicht mehr darstellbar ist. Daher können auch Dimensionsschnitte (Slicing) abgefragt werden, die dann in der Regel die Elemente zweier Dimensionen verdeutlichen.

mehr lesen

Excel-Update: Excel-Aktualisierungsintervalle in Office365 konfigurieren

Ist Ihnen das auch schon mal passiert? Mit einem rechten Mausklick öffnen Sie das Kontextmenü und stolpern dort quasi über eine neue Option. Dabei sind Sie sicher, dass diese Neuerung gestern ganz bestimmt dort noch nicht zu finden waren. Sind Sie Nutzer von einer Office365-Version von Excel, dann besteht kein Grund an Ihrer eigenen Wahrnehmung zu zweifeln. Stattdessen sollten Sie den Update-Modus Ihrer Excel-Version überprüfen. Unsere Artikelreihe gibt Ihnen einige sinnvolle Anregungen, wie Sie die Monat für Monat in Excel ergänzten Funktionen sinnvoll nutzen können.

Doch bevor wir die praktische Anwendung beleuchten, gilt es, das Gesamtkonzept hinter den neuartigen Mini-Updates von Excel zu verstehen. Mit Office365 hat Microsoft ein völlig neues Modell zur Aktualisierung von Softwareversionen etabliert. Die gute alte Zeit, in der IT-Administratoren im Unternehmen oder private Nutzer am heimischen Rechner mit ein paar Mausklicks ein Update beispielsweise von Excel starteten und dann bis zum Ende der Installationsroutine warten mussten, sind vorbei. Die Aktualisierung einer Software erfolgt heute – wie bei einer App auf einem Mobilgerät – fast unbemerkt im Hintergrund. Während sich IT-Abteilungen noch teilweise den Kopf zerbrechen, wie sie die neue Art der Softwareverteilung managen sollen und wie gewährleistet wird, dass an den Arbeitsplätzen annähernd identische Versionen installiert sind, stellen sich für Anwender im Controlling andere Fragen: Kann ich die Ausführung der Aktualisierung beeinflussen? Welche Funktionen hat Microsoft im monatlichen Turnus aktualisiert oder neu in Excel integriert? Welchen Nutzen bringen mir die neuen Funktionen? Zeit also, einige dieser Fragen zu beantworten.

Wo Sie wichtige Informationen zur Excel-Version und Aktualisierungsintervall finden


Wir alle freuen uns natürlich über die Weiterentwicklung und Verbesserung unserer Software. Irritierend wirkt hingegen, wenn zwei Installationen von Excel 2016, beispielsweise die am Arbeitsplatz und jene Zuhause, bei genauerer Betrachtung unterschiedliche Stände aufweisen. In Firmenseminaren, zu denen Teilnehmer heute immer öfters das eigene Laptop mitbringen, sind auf diesem Wege häufig drei oder vier unterschiedliche Excel-Versionen im Einsatz. Um die Ursache für solche Abweichungen zu finden, sollte man sich zunächst vergewissern, welche Version auf dem jeweiligen Rechner verwendet wird. Die Information finden Sie bei Excel für Office365 unter Datei – Konto. Auf der rechten Seite des Bildschirms finden Sie unter Produktinformationen die wichtigsten Angaben zu Ihrer Office365-Installation.

Update-1-1.jpg

Die Angabe Version 1707 bedeutet beispielsweise, dass es bei der installierten Version um die vom Juli 2017 handelt. Finden Sie auf dem heimischen und dem Firmenrechner zwei unterschiedliche Aktualisierungsstände, gilt es zu eruieren, was für die unterschiedliche Entwicklung verantwortlich ist. Und natürlich wird Sie im weiteren Verlauf auch interessieren, ob und welche Möglichkeiten bestehen, die monatliche Aktualisierung der Software individuell zu steuern. Einen ersten Hinweis auf Ursachen für unterschiedliche Versionen erhalten Sie in Excel erneut bei den Produktinformationen. Dort zeigt Ihnen Microsoft an, welchen Updatekanal Sie – bewusst oder unbewusst – aktiviert haben. Die Anzeige Aktueller Kanal bedeutet, dass automatisch alle monatlichen Updates ausgeführt werden. Dieser Modus ist die Standardeinstellung für Lizenzen Office365 Business und Office365 Business Premium.

Finden Sie an dieser Stelle hingegen die Bezeichnung Verzögerter Kanal, dann wird nicht monatlich sondern halbjährig aktualisiert. Für Office365 ProPlus ist diese Einstellung standardmäßig voreingestellt. Die Vor- und Nachteile der beiden Updatezyklen liegen auf der Hand. Während ein monatlicher Zyklus Ihnen eventuell schneller Zugriff auf eine neue zeitsparende Funktion gibt, kann ein längeres Intervall Ihnen die Sicherheit geben, dass Neuerungen ausgereifter sind und stabiler laufen. Da Microsoft mittlerweile auch kontinuierlich Nutzer über neue Funktionen und die Priorisierung von Weiterentwicklung auf seinen Blogs abstimmen lässt, kann es auch im Einzelfall zu einem Hin und Her bei der Funktionsauswahl kommen.

Beispiel: Im Sommer 2017 verteilte Microsoft eine neue Version von PowerPivot, dem wichtigen mittlerweile in Excel 2016 integrierten SSBI-Tool zur Datenmodellierung. Neben sinnvollen Ergänzungen hatten die Hersteller eine Funktion entfernt, mit der neue Berechnungen (Measures) nach der Erstellung automatisch in den Wertebereich der Pivottabelle übernommen wurden. In der Folge mussten Nutzer nun neue Measures manuell in den Report ziehen. Ein Aufschrei des Ärgers ging sogleich durch die Community. Und Microsoft gab bekannt, im nächsten Release einen Monat später sei die entfernte Funktion wieder verfügbar. Nutzer des Verzögerten Kanals mussten sich nicht über die fehlende Aktualisierung der Pivottabelle wundern oder ärgern. Ihnen wurde allerdings aus demselben Grunde sechs Monate lang die sehr nützliche Möglichkeit vorenthalten, erweiterte Zahlenformatierungen in Pivottabellen per rechter Maustaste schnell zuzuweisen. mehr lesen


Anzeige

RS Controlling-System

Das RS- Controlling-System bietet Planung, Ist- Auswertung und Forecasting in einem Excel-System. Monatliche und mehrjährige Planung. Ganz einfach Ist- Zahlen mit Hilfe von Plan/Ist-Vergleichen, Kennzahlen und Kapitalflussrechnung analysieren.  Alle Funktionen im Überblick >>.

Besucher-Umfrage

Wie gefällt Ihnen Excel-Vorlagen-Markt.de? Wir freuen uns über Ihr Feedback. Umfrage >>

Community

Community_Home.jpg






Nutzen Sie kostenfrei das Excel Forum und holen sich Rat für Ihre Excel-Kalkulation.
Anzeige

TOP ANGEBOTE

Button__subThema.PNG RS Toolpaket - Planung:
4 Excel-Tools zum Paketpreis von nur 149,- EUR statt 227,- EUR bei Einzelkauf
Button__subThema.PNG RS Toolpaket - Controlling:
6 Excel-Tools zum Paketpreis von nur 189,- EUR statt 286,- EUR bei Einzelkauf
Button__subThema.PNG RS FiBu Paket:

8 Excel-Tools zum Paketpreis von nur 39,- EUR statt 49,- EUR bei Einzelkauf
Anzeige
Excel-Vorlage: RS Controlling System
Anzeige

JOB- TIPP

Stellenmarkt.jpg
Sind Sie auf der Suche nach einer neuen Herausforderung? Interessante Stellenangebote für Excel- Experten finden Sie in der Excel-Vorlagen-Markt.de Stellenbörse. Ihr Stellengesuch können Sie kostenfrei über ein einfaches Online-Formular erstellen. Zur Stellenbörse >>
Anzeige

Excel-Vorlagen

 Investitionsrechnung Excel.jpg
Berechnen Sie die Rentabilität, Kapitalwert oder Armortisationszeit Ihrer Investitionen mit
Excel-Vorlagen für Investitionsrechnung
. Eine Auswahl finden Sie hier >>
Anzeige

TOP ANGEBOTE

Button__subThema.PNG
RS Plan - Unternehmensplanung leicht gemacht:


Erstellen Sie mit RS-Plan ganz einfach Ihre gesamte Unternehmensplanung!
Button__subThema.PNG
RS-Controlling-System f. EÜR:


Planen, analysieren und steuern Sie Ihr Unternehmen mit RS-Controlling-System f. EUR!
Button__subThema.PNG
RS-Investitionsrechner:



Ermitteln Sie ganz einfach den Kapitalwert Ihres Investitionsvorhabens!
Anzeige

RS Toolpaket - Controlling

Excel-Tool_152x89px.jpgWir setzen für Sie den Rotstift an, sparen Sie mit unsrem RS Toolpaket - Controlling über 30% im Vergleich zum Einzelkauf. Die wichtigsten Controlling-Vorlagen in einem Paket (Planung, Bilanzanalyse, Investitionsrechnung, ...). Das Controllingpaket umfasst 6 Excel-Tools für Ihre Arbeit! mehr Infos >>
Anzeige

Aktiendepot in Excel verwalten 

Excel-Aktiendepot_4_0.jpg
Mit dieser Excel-Vorlage können Sie Ihre Aktien in Excel verwalten:
Geplante Aktienkäufe und –Verkäufe simulieren mit Berücksichtigung von Spesen, Abgaben, Sparer-Pauschbetrag und GV-Topf, Automatische Zusammenfassung der Aktientransaktionen nach Kalenderjahren inklusive Diagrammdarstellung, Historie der Aktienverkäufe, ...   Zum Shop >>
Anzeige

Software-Tipp

box_Liquiditaetstool_W.pngRollierende Liquiditätsplanung auf Wochenbasis. Mit der Excel-Vorlage „Liquiditätstool“ erstellen Sie schnell und einfach ein Bild ihrer operativen Liquiditätslage für die nächsten (bis zu 52) Wochen.. Preis 47,60 EUR Mehr Infos und Download >>
Anzeige

RS Controlling-System

RS-Controlling-System.jpg Das RS- Controlling-System bietet Planung, Ist- Auswertung und Forecasting in einem Excel-System. Monatliche und mehrjährige Planung. Ganz einfach Ist-Zahlen mit Hilfe von Plan/Ist-Vergleichen, Kennzahlen und Kapitalfluss- rechnung analysieren.  Alle Funktionen im Überblick >>
Anzeige

TOP ANGEBOTE

Button__subThema.PNG RS Rückstellungsrechner XL:
Die optimale Unterstützung bei Ihren Jahresabschlussarbeiten
Button__subThema.PNG RS Einkaufs-Verwaltung:
Erstellung und Verwaltung von Aufträgen und Bestellungen
Button__subThema.PNG RS Kosten-Leistungs-Rechnung:

Erstellen Sie eine umfassende Kosten-Leistungsrechnung
Anzeige

Nutzwertanalyse (Excel-Vorlage)

preview03_bewertung.jpg
Die Nutzwertanalyse ist eine Methode zur quantitativen Bewertung des Nutzens von Entscheidungsalternativen, die wegen fehlender numerischer oder monetärer Vergleichskriterien nicht oder schwer miteinander vergleichbar sind. Dieses Excel Tool ermöglicht die Durchführung einer Nutzwertanalyse für bis zu fünf Alternativen nach bis zu zwölf, nicht hierarchischen Kriterien. Zum Shop >>
Anzeige

Meilensteintrendanalyse (MTA) in Excel

mta_de_02.jpg
Diese auf Excel basierende Meilensteintrendanalyse ist ein effizientes grafisches Werkzeug zur Verfolgung von Projektmeilensteinen. Sie visualisiert den Trend von Meilensteinen und eine möglicherweise daraus resultierende Gefährdung des Projektendes. Zum Shop >>
Anzeige

Excel-Vorlagen-Paket für Hausverwalter

4. Residualwertberechnung.jpg
Dieses Excel-Vorlagen-Paket enthält folgende Tools:
  • Nebenkostenabrechnung für Eigentumswohnung
  • Rendite – Berechnungsprogramm
  • Residualwertberechnung für eine Immobilie
  • Steuerberechnung für Immobilienanlage 
Zum Shop >>