Onderzoekers van Mimecast hebben onlangs een zwakke plek ontdekt in Microsoft Excel. Hackers kunnen deze kwetsbaarheid misbruiken om een computer via Excel te besmetten met malware. Hierbij maken ze misbruik van een functie in Excel om je werkblad / sheet te kunnen koppelen aan andere databronnen. De ontdekte aanvalstechniek maakt gebruik van Power Query.
Microsoft kondigde aan geen update of patch uit te brengen om de zwakke plek te verhelpen, aangezien het een normale functie binnen Excel betreft en geen softwarefout. Dat hackers deze functie misbruiken is volgens hen zorgelijk, maar geen reden om de functie te verwijderen. Wel geeft Microsoft twee adviezen om misbruik te voorkomen.
Zet “Dynamic Data Exchange” uit
Het eerste advies van Microsoft luidt om in Excel “Dynamic Data Exchange (DDE)” uit te zetten wanneer je deze niet gebruikt. Dat doe je als volgt:
Nederlands
Bestand ➜ Opties ➜ Vertrouwenscentrum ➜ Instellingen voor het Vertrouwenscentrum… ➜ Externe inhoud ➜ Beveiligingsinstellingen voor Dynamic Data Exchange ➜ Vink beide keuzevakjes uit.
Engels
File ➜ Options ➜ Trust Center ➜ Trust Center Settings… ➜ External Content ➜ Security settings for Workbook Links ➜ Vink beide keuzevakjes uit.
Gebruik een NextGen-Antivirus
Het tweede advies dat Microsoft geeft is om een NextGen-Antivirus te gebruiken die via een ‘intelligent’ algoritme zelf kan detecteren of het gedrag van een applicatie legitiem gebruikt wordt of niet. Microsoft biedt hiervoor de ‘Windows Defender Exploit Guard’ aan, die onderdeel is van de ‘Windows Defender Advanced Threat Protection (ATP)’ licentie. Dit werkt echter enkel op Windows 10 met de bijbehorende licenties. Een andere NextGen-Antivirus die hoog aangeschreven staat is SentinelOne.
Meer weten over SentinelOne? Neem contact op.
Bronnen:
➜ https://www.computable.nl/artikel/techwire/security/6693218/2499347/mimecast-waarschuwt-voor-misbruik-power-query.html
➜ https://www.zdnet.com/article/microsoft-excel-power-query-feature-can-be-abused-for-malware-distribution/
➜ https://docs.microsoft.com/en-us/security-updates/securityadvisories/2017/4053440