CSV-Import: Luca-App ermöglichte Code-Injection bei Excel

Nach Angaben von Sicherheitsexperten lässt sich bei der Luca-App Schadcode auf die Rechner von Gesundheitsämtern einschleusen. Der Sicherheitsforscher Marcus Mengs demonstrierte am Mittwoch in einem auf Youtube veröffentlichten Video, wie ein solcher Code über den Import von CSV-Dateien in Excel ausgeführt werden kann, wenn Nutzer Warnhinweise des Programms ignorieren und Makro-Ausführung möglich ist. Die Gefahr einer solchen Code-Injection bei der Luca-App war bereits vor mehreren Wochen diskutiert worden. Nun haben die Entwickler nach eigenen Angaben einen zusätzlichen Filter eingefügt, der den Missbrauch durch Excel-Makros verhindern soll.

In einem Gespräch mit Golem.de hatte Patrick Hennig, Chef des Luca-Entwicklers Nexenio, die Möglichkeit von Code-Injection als unzutreffend bezeichnet. Laut Hennig werden die erforderlichen Sonderzeichen beim Entschlüsseln der Daten für die Gesundheitsämter und beim Import in deren Sormas-System herausgefiltert. "Ein Angriff ist nicht möglich", hatte Hennig Anfang Mai gesagt.

Es sei hingegen nicht sinnvoll, solche Sonderzeichen schon bei der Eingabe der Nutzerdaten zu blockieren. "Wir können es nur auf Smartphones verhindern, denn über die API könnte trotzdem jeder andere Zeichen reinschieben, deswegen haben wir bei der Eingabe darauf verzichtet", sagte er damals zur Begründung.

Warnhinweise ignorieren

In Mengs' Video müssten die Mitarbeiter der Gesundheitsämter jedoch entsprechende Excel-Warnungen wegklicken. "Microsoft Office hat ein potenzielles Sicherheitsrisiko erkannt", heißt es in dem Hinweis. "Diese Arbeitsmappe enthält Webdienst-Funktionen, die Inhalte aus dem Internet empfangen. Aktivieren Sie diese Inhalte nur, wenn Sie der Quelle dieser Daten vertrauen."

Mengs hält es für realistisch, dass Mitarbeiter diese Warnung ignorieren. "Luca hat ja immer gesagt, sie seien eine Quelle, der man vertrauen kann", sagte er der Zeit.

Luca hält Angriff für unwahrscheinlich

In einer Stellungnahme weisen die Luca-Entwickler darauf hin, dass ein solcher Angriff in Behörden sehr unwahrscheinlich sei. Die Möglichkeit der Ausführung eines schadhaften Makros im Rahmen eines Excel-Imports sei "im behördlichen Umfeld im Regelfall deaktiviert". Das sehe eine Empfehlung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) vor (BSI-CS 136). "Sollte dies wider Erwarten nicht der Fall sein, erhalten Nutzer in jedem Fall eine Sicherheitswarnung, bevor ein schadhafter Code ausgeführt wird", hieß es weiter.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Bislang habe Luca die Empfehlungen des Open Web Application Security Project (OWASP) bezüglich CSV-Injection berücksichtigt. Entsprechende Zellen würden wie empfohlen übersprungen. "Heute Vormittag haben wir diesen Filter noch zusätzlich um eine sogenannte Allow List an Zeichen erweitert, damit böswillige Angreifer diese Excel-Lücke nicht mehr ausnutzen können", hieß es weiter. Bislang sei es noch nicht zu einem bekanntgewordenen Sicherheitsvorfall in einem Gesundheitsamt gekommen.

Nachtrag vom 28. Mai 2021, 12:45 Uhr

Das BSI hat sich mittlerweile zu dem Vorgang auf Twitter geäußert, nachdem es zahlreiche Anfragen zur Luca-App erhalten hatte. "Wir schätzen das Angriffs-Szenario einer Code-Injection über das Luca-System abhängig von der konkreten Einsatzumgebung als plausibel ein", schreibt das BSI. Man sei der Auffassung, dass die Betreiber einer App für die übermittelten Daten verantwortlich seien.

"Schutzmaßnahmen Dritter, etwa zusätzliches Unterbinden von Makro-Ausführung, stellen aus unserer Sicht keine ausreichende Sicherheitsmaßnahme dar", schreibt das BSI weiter und kritisiert damit direkt die Aussagen der Luca-Macher, die die Gefahr einer Makro-Ausführung mit Verweis auf eine BSI-Richtlinie heruntergespielt hatten.