Textbasierte CSV-Injection-Angriffe erfolgreich abwehren
Aktuell versuchen Kriminelle über textbasierte CSV-Dateien Malware zu installieren. Darüber berichteten in dieser Woche der Sicherheitsforscher Chris Campbell und das US-Magazin BleepingComputer. Die Phishing-Welle ist auch als „CSV Injection“ bekannt.
Dynamic Data Exchange ermöglicht Angriffe
Ein Feature für den dynamischen Datenaustausch (Dynamic Data Exchange oder kurz DDE) in Microsoft Excel, mit welchem CSV-Dateien in der Regel verknüpft sind, ermöglicht diese Vorgehensweise. Microsoft hat im Januar 2022 in einem Update Sicherheitsverbesserungen als Defense-in-Depth-Maßnahmen für Excel veröffentlicht. In früheren Updates, z.B. in 2018, wurden Steuerelemente hinzugefügt, um DDE in Excel konfigurieren zu können. Mit dem Update im Januar wurde DDE in allen unterstützten Excel-Versionen seitens Microsofts deaktiviert.
Damit Sie über DDE eine CSV-Datei in Microsoft Excel überhaupt dazu bringen, ein Programm wie „calc.exe“ zu starten, müssen Sie auf einem vollständig gepatchten System im Trust Center die Option „DDE-Serverstart“ wieder aktivieren. Wie bei Dokumenten mit Macro-Funktionalität müssen entsprechende Hinweise abgenickt werden.
Falls Sie sich früher noch nicht mit dem Thema DDE in Microsoft Excel beschäftigt haben, ist jetzt also ein guter Zeitpunkt, sich mit dieser potenziellen Bedrohung genauer auseinander zu setzen. Für die meisten Unternehmen sollte es sicherlich ausreichen, wenn diese häufig doch eher unbekannte Funktionalität deaktiviert ist und man das neue Update ausrollt.
So können Sie sich mit NoSpamProxy vor CSV-Injection-Angriffen schützen
Eine CSV-Datei wird im NoSpamProxy Dateityp „Nur Text“ erkannt.
Falls solche mit DDE-Funktionalität präparierten CSV-Dateien als Anhang über NoSpamProxy verschickt werden, so werden diese korrekterweise als Dateityp „Nur Text“ erkannt. Damit Sie diese im Inhaltsfilter also entsprechend filtern können, müssen Sie auf eine UND-Bedingung zwischen Dateityp „Nur Text“ und Dateiname „*.csv“ zurückgreifen.
Eine UND-Bedingung filtert auf CSV-Dateien.
Nun können Sie den Inhaltfilter entsprechend Ihren eigenen Bedürfnissen anpassen. Werden CSV-Dateien im Unternehmen überhaupt nicht benötigt, können Sie die E-Mail komplett ablehnen. Oder Sie treffen mit Hilfe des Level-of-Trust-Filters eine Entscheidung. Dieser unterscheidet zwischen vertrauenswürdigen und nicht vertrauenswürdigen Kommunikationspartnern. Falls Sie „Larges Files“ lizensiert haben, können Sie eine CSV-Datei zur Sicherheit auch von der E-Mail trennen, den Anhang ins Web Portal hochladen und dort bei Bedarf freigeben lassen.
Grundsätzlich propagieren wir seit Ende 2018 die sogenannte „E-Mail Firewall“. Wir empfehlen alle Dateien zu verbieten und nur selektiv – wie bei einer Firewall – einzelne benötigte Formate zu erlauben. Im Zweifelsfall nehmen Sie CSV-Dateien also erst einmal nicht an.
Noch kein NoSpamProxy im Einsatz?
Mit NoSpamProxy schützen Sie Ihr Unternehmen zuverlässig vor Cyberangriffen. Fordern Sie jetzt Ihre kostenfreie Testversion an!
