CSV-Import: Luca-App ermöglichte Code-Injection bei Excel

Nach Angaben der Entwickler konnte bei der Luca-App kein Schadcode über CSV-Daten eingeschleust werden. Doch das galt nicht für Excel.

Artikel veröffentlicht am ,
Über Excel ließ sich Schadcode in Gesundheitsämter einschleusen.
Über Excel ließ sich Schadcode in Gesundheitsämter einschleusen. (Bild: Ina Fassbender/AFP/Getty Images)

Nach Angaben von Sicherheitsexperten lässt sich bei der Luca-App Schadcode auf die Rechner von Gesundheitsämtern einschleusen. Der Sicherheitsforscher Marcus Mengs demonstrierte am Mittwoch in einem auf Youtube veröffentlichten Video, wie ein solcher Code über den Import von CSV-Dateien in Excel ausgeführt werden kann, wenn Nutzer Warnhinweise des Programms ignorieren und Makro-Ausführung möglich ist. Die Gefahr einer solchen Code-Injection bei der Luca-App war bereits vor mehreren Wochen diskutiert worden. Nun haben die Entwickler nach eigenen Angaben einen zusätzlichen Filter eingefügt, der den Missbrauch durch Excel-Makros verhindern soll.

Stellenmarkt
  1. Senior Software Architect .NET (m/w)
    MED-EL Medical Electronics, Innsbruck (Österreich)
  2. Mitarbeiter*in (m/w/d) für das Prozessmanagement
    Universität Bielefeld, Bielefeld
Detailsuche

In einem Gespräch mit Golem.de hatte Patrick Hennig, Chef des Luca-Entwicklers Nexenio, die Möglichkeit von Code-Injection als unzutreffend bezeichnet. Laut Hennig werden die erforderlichen Sonderzeichen beim Entschlüsseln der Daten für die Gesundheitsämter und beim Import in deren Sormas-System herausgefiltert. "Ein Angriff ist nicht möglich", hatte Hennig Anfang Mai gesagt.

Es sei hingegen nicht sinnvoll, solche Sonderzeichen schon bei der Eingabe der Nutzerdaten zu blockieren. "Wir können es nur auf Smartphones verhindern, denn über die API könnte trotzdem jeder andere Zeichen reinschieben, deswegen haben wir bei der Eingabe darauf verzichtet", sagte er damals zur Begründung.

Warnhinweise ignorieren

In Mengs' Video müssten die Mitarbeiter der Gesundheitsämter jedoch entsprechende Excel-Warnungen wegklicken. "Microsoft Office hat ein potenzielles Sicherheitsrisiko erkannt", heißt es in dem Hinweis. "Diese Arbeitsmappe enthält Webdienst-Funktionen, die Inhalte aus dem Internet empfangen. Aktivieren Sie diese Inhalte nur, wenn Sie der Quelle dieser Daten vertrauen."

Mengs hält es für realistisch, dass Mitarbeiter diese Warnung ignorieren. "Luca hat ja immer gesagt, sie seien eine Quelle, der man vertrauen kann", sagte er der Zeit.

Luca hält Angriff für unwahrscheinlich

In einer Stellungnahme weisen die Luca-Entwickler darauf hin, dass ein solcher Angriff in Behörden sehr unwahrscheinlich sei. Die Möglichkeit der Ausführung eines schadhaften Makros im Rahmen eines Excel-Imports sei "im behördlichen Umfeld im Regelfall deaktiviert". Das sehe eine Empfehlung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) vor (BSI-CS 136). "Sollte dies wider Erwarten nicht der Fall sein, erhalten Nutzer in jedem Fall eine Sicherheitswarnung, bevor ein schadhafter Code ausgeführt wird", hieß es weiter.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Bislang habe Luca die Empfehlungen des Open Web Application Security Project (OWASP) bezüglich CSV-Injection berücksichtigt. Entsprechende Zellen würden wie empfohlen übersprungen. "Heute Vormittag haben wir diesen Filter noch zusätzlich um eine sogenannte Allow List an Zeichen erweitert, damit böswillige Angreifer diese Excel-Lücke nicht mehr ausnutzen können", hieß es weiter. Bislang sei es noch nicht zu einem bekanntgewordenen Sicherheitsvorfall in einem Gesundheitsamt gekommen.

Nachtrag vom 28. Mai 2021, 12:45 Uhr

Das BSI hat sich mittlerweile zu dem Vorgang auf Twitter geäußert, nachdem es zahlreiche Anfragen zur Luca-App erhalten hatte. "Wir schätzen das Angriffs-Szenario einer Code-Injection über das Luca-System abhängig von der konkreten Einsatzumgebung als plausibel ein", schreibt das BSI. Man sei der Auffassung, dass die Betreiber einer App für die übermittelten Daten verantwortlich seien.

"Schutzmaßnahmen Dritter, etwa zusätzliches Unterbinden von Makro-Ausführung, stellen aus unserer Sicht keine ausreichende Sicherheitsmaßnahme dar", schreibt das BSI weiter und kritisiert damit direkt die Aussagen der Luca-Macher, die die Gefahr einer Makro-Ausführung mit Verweis auf eine BSI-Richtlinie heruntergespielt hatten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Der Nachfolger von Windows 10
Windows 11 ist da

Nun ist es offiziell: Microsoft kündigt das neue Windows 11 an. Vieles war bereits vorher bekannt, einiges Neues gibt es aber trotzdem.

Der Nachfolger von Windows 10: Windows 11 ist da
Artikel
  1. EE: Britische Netzbetreiber führen wieder Roaming ein
    EE
    Britische Netzbetreiber führen wieder Roaming ein

    Für britische Mobilfunk-Nutzer ist die Zeit des freien Telefonierens in der EU bald vorbei. EE und zuvor O2 und Three haben Einschränkungen angekündigt.

  2. Krypto-Betrug in Milliardenhöhe: Gründer von Africrypt stehlen 69.000 Bitcoin
    Krypto-Betrug in Milliardenhöhe
    Gründer von Africrypt stehlen 69.000 Bitcoin

    Die Gründer der Kryptoplattform Africrypt haben sich offenbar mit 69.000 gestohlenen Bitcoin abgesetzt. Der Betrug deutete sich schon vor Monaten an.

  3. Interview: Avatar und die global beleuchteten Mikrodetails von Pandora
    Interview
    Avatar und die global beleuchteten Mikrodetails von Pandora

    Waldplanet statt The Division: Golem.de hat mit dem Technik-Team von Avatar - Frontiers of Pandora über die Snowdrop-Engine gesprochen.
    Ein Interview von Peter Steinlechner

Epaminaidos 11. Jun 2021 / Themenstart

Golem hat immer noch den Claim "IT-News für Profis". Da wäre es doch schön, wenn im...

Puschie 29. Mai 2021 / Themenstart

Das heißt doch 2 Wochen bezahlter Urlaub oder ? Jede Warnung ist eine Chance etwas neues...

Palerider 28. Mai 2021 / Themenstart

Es wird vermutlich nicht auf einer Exceltabelle basieren aber irgendwie müssen die Daten...

1st1 27. Mai 2021 / Themenstart

Wenn ich irgendwo bin, schaue ich immer, ob an Geschäften, Restaurants, Ausflugszielen...

Kilpikonna 27. Mai 2021 / Themenstart

Das csv wird aber erzeugt, indem eine leere Excel-Tabelle ausgedruckt und per Hand...

Kommentieren


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Mega-Wiedereröffnung bei MediaMarkt - bis zu 30 Prozent Rabatt • Samsung SSD 980 Pro PCIe 4.0 1TB 166,59€ • Gigabyte M27Q 27" WQHD 170Hz 338,39€ • AMD Ryzen 5 5600X 251,59€ • Dualsense Midnight Black + R&C Rift Apart 99,99€ • Logitech Lenkrad-Sets zu Bestpreisen [Werbung]
    •  /