Ende Juni 2019 haben Sicherheitsforscher der Firma Mimecast eine relevante Sicherheitslücke in Excel entdeckt beziehungsweise ein Angriffsmodel entwickelt, um Schadecode auszuführen. Diese Lücke ist bekannt, wird jedoch von Microsoft nicht geschlossen. Warum Microsoft hier ersteinmal nicht reagiert hat einen ganz einfachen Hintergrund. Bei der Lücke handelt es sich um eine Standardfunktion, welche sich so ohne weiteres nicht ändern lässt.

Der Angriff funktioniert über eine Excel-Datei, die externe Datenquellen nutzt und diese beim Öffnen der Datei aus dem Internet lädt. Das dafür verwendete Standard-Protokoll heißt Dynamic Data Exchange (DDE). Angriffe über solche Dateien sind jedoch nichts Neues. Bisher war es allerdings so, dass der Schadcode bereits in der geöffneten Excel-Datei enthalten war. Neu ist, dass über die DDE-Schnittstelle der Schadecode über das Internet nachgeladen wird und somit erst nach dem Öffnen der Datei auf den PC landet. Dieses Vorgehen hebelt den Virenschutz aus, da die Datei zum Zeitpunkt des Öffnens und des Virenscans absolut clean ist, der Schadcode ist ins Internet ausgelagert.

Das Nachladen des Codes aus dem Internet muss zwar bestätigt werden, aber mit gut gemachten Phishing-Mails dürftet dies regelmäßig passieren.
Betroffen von dieser Lücke sind alle Excel-Versionen ab Excel 2017 und die Anwender, welche in Excel 2010 oder Excel 2013 das PowerQuery Addin installiert haben. Einfallstor ist also die Funktion "Externe Daten abrufen", welche in älteren Versionen noch PowerQuery hieß.

Damit werden keine Daten über die DDE-Schnittstelle mehr über das Internet nachgeladen und der Rechner ist sicher. Allerdings steht diese Funktion dann auch nicht mehr zur Verfügung und Sie müssen entsprechend mit Einschränkungen rechnen, z. B. wenn Sie mehrere Excel-Dateien miteinander verküpft haben oder wenn Sie die PowerQuery-Funktion nutzen möchten.