CSV-Import: Luca-App ermöglichte Code-Injection bei Excel

Nach Angaben der Entwickler konnte bei der Luca-App kein Schadcode über CSV-Daten eingeschleust werden. Doch das galt nicht für Excel.

Artikel veröffentlicht am ,
Über Excel ließ sich Schadcode in Gesundheitsämter einschleusen.
Über Excel ließ sich Schadcode in Gesundheitsämter einschleusen. (Bild: Ina Fassbender/AFP/Getty Images)

Nach Angaben von Sicherheitsexperten lässt sich bei der Luca-App Schadcode auf die Rechner von Gesundheitsämtern einschleusen. Der Sicherheitsforscher Marcus Mengs demonstrierte am Mittwoch in einem auf Youtube veröffentlichten Video, wie ein solcher Code über den Import von CSV-Dateien in Excel ausgeführt werden kann, wenn Nutzer Warnhinweise des Programms ignorieren und Makro-Ausführung möglich ist. Die Gefahr einer solchen Code-Injection bei der Luca-App war bereits vor mehreren Wochen diskutiert worden. Nun haben die Entwickler nach eigenen Angaben einen zusätzlichen Filter eingefügt, der den Missbrauch durch Excel-Makros verhindern soll.

Stellenmarkt
  1. Wissenschaftlicher Mitarbeiter (m/w/d) Datenanalyse / Epidemiologie
    Medizinische Fakultät Mannheim, Mannheim
  2. Consultant Real Estate ERP Systeme (m/w/d) für die Bestandskundenbetreuung
    Haufe Group, deutschlandweit
Detailsuche

In einem Gespräch mit Golem.de hatte Patrick Hennig, Chef des Luca-Entwicklers Nexenio, die Möglichkeit von Code-Injection als unzutreffend bezeichnet. Laut Hennig werden die erforderlichen Sonderzeichen beim Entschlüsseln der Daten für die Gesundheitsämter und beim Import in deren Sormas-System herausgefiltert. "Ein Angriff ist nicht möglich", hatte Hennig Anfang Mai gesagt.

Es sei hingegen nicht sinnvoll, solche Sonderzeichen schon bei der Eingabe der Nutzerdaten zu blockieren. "Wir können es nur auf Smartphones verhindern, denn über die API könnte trotzdem jeder andere Zeichen reinschieben, deswegen haben wir bei der Eingabe darauf verzichtet", sagte er damals zur Begründung.

Warnhinweise ignorieren

In Mengs' Video müssten die Mitarbeiter der Gesundheitsämter jedoch entsprechende Excel-Warnungen wegklicken. "Microsoft Office hat ein potenzielles Sicherheitsrisiko erkannt", heißt es in dem Hinweis. "Diese Arbeitsmappe enthält Webdienst-Funktionen, die Inhalte aus dem Internet empfangen. Aktivieren Sie diese Inhalte nur, wenn Sie der Quelle dieser Daten vertrauen."

Golem Akademie
  1. Microsoft Teams effizient nutzen
    25. Oktober 2021, online
  2. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
  3. 1:1-Videocoaching mit Golem Shifoo
    Berufliche Herausforderungen meistern
Weitere IT-Trainings

Mengs hält es für realistisch, dass Mitarbeiter diese Warnung ignorieren. "Luca hat ja immer gesagt, sie seien eine Quelle, der man vertrauen kann", sagte er der Zeit.

Luca hält Angriff für unwahrscheinlich

In einer Stellungnahme weisen die Luca-Entwickler darauf hin, dass ein solcher Angriff in Behörden sehr unwahrscheinlich sei. Die Möglichkeit der Ausführung eines schadhaften Makros im Rahmen eines Excel-Imports sei "im behördlichen Umfeld im Regelfall deaktiviert". Das sehe eine Empfehlung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) vor (BSI-CS 136). "Sollte dies wider Erwarten nicht der Fall sein, erhalten Nutzer in jedem Fall eine Sicherheitswarnung, bevor ein schadhafter Code ausgeführt wird", hieß es weiter.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Bislang habe Luca die Empfehlungen des Open Web Application Security Project (OWASP) bezüglich CSV-Injection berücksichtigt. Entsprechende Zellen würden wie empfohlen übersprungen. "Heute Vormittag haben wir diesen Filter noch zusätzlich um eine sogenannte Allow List an Zeichen erweitert, damit böswillige Angreifer diese Excel-Lücke nicht mehr ausnutzen können", hieß es weiter. Bislang sei es noch nicht zu einem bekanntgewordenen Sicherheitsvorfall in einem Gesundheitsamt gekommen.

Nachtrag vom 28. Mai 2021, 12:45 Uhr

Das BSI hat sich mittlerweile zu dem Vorgang auf Twitter geäußert, nachdem es zahlreiche Anfragen zur Luca-App erhalten hatte. "Wir schätzen das Angriffs-Szenario einer Code-Injection über das Luca-System abhängig von der konkreten Einsatzumgebung als plausibel ein", schreibt das BSI. Man sei der Auffassung, dass die Betreiber einer App für die übermittelten Daten verantwortlich seien.

"Schutzmaßnahmen Dritter, etwa zusätzliches Unterbinden von Makro-Ausführung, stellen aus unserer Sicht keine ausreichende Sicherheitsmaßnahme dar", schreibt das BSI weiter und kritisiert damit direkt die Aussagen der Luca-Macher, die die Gefahr einer Makro-Ausführung mit Verweis auf eine BSI-Richtlinie heruntergespielt hatten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Epaminaidos 11. Jun 2021

Golem hat immer noch den Claim "IT-News für Profis". Da wäre es doch schön, wenn im...

Puschie 29. Mai 2021

Das heißt doch 2 Wochen bezahlter Urlaub oder ? Jede Warnung ist eine Chance etwas neues...

Palerider 28. Mai 2021

Es wird vermutlich nicht auf einer Exceltabelle basieren aber irgendwie müssen die Daten...

1st1 27. Mai 2021

Wenn ich irgendwo bin, schaue ich immer, ob an Geschäften, Restaurants, Ausflugszielen...

Kilpikonna 27. Mai 2021

Das csv wird aber erzeugt, indem eine leere Excel-Tabelle ausgedruckt und per Hand...



Aktuell auf der Startseite von Golem.de
Carvera
CNC-Fräse für den Tisch wechselt Aufsätze selbstständig

Die Carvera ist eine CNC-Maschine und Drehbank für Hobbybastler. Das System wechselt Aufsätze selbstständig, ist aber nicht günstig.

Carvera: CNC-Fräse für den Tisch wechselt Aufsätze selbstständig
Artikel
  1. Lightning ade: EU will USB-C als alleinige Handy-Ladebuchse vorschreiben
    Lightning ade  
    EU will USB-C als alleinige Handy-Ladebuchse vorschreiben

    Die EU-Kommission will eine einheitliche Ladebuchse einführen. USB-C soll zum Aufladen aller möglichen Kleingeräte verwendet werden.

  2. Zensurvorwürfe: Will Xiaomi vor allem Porno-Werbung filtern?
    Zensurvorwürfe
    Will Xiaomi vor allem Porno-Werbung filtern?

    Warum laden Xiaomi-Smartphones Wörterlisten mit politischen Begriffen herunter? Möglicherweise soll damit auch explizite Werbung gefiltert werden.

  3. Bundestagswahl 2021: Technik allein wird es nicht richten
    Bundestagswahl 2021
    Technik allein wird es nicht richten

    Die bürgerlichen Parteien setzen beim Klimaschutz auf Emissionshandel und technische Lösungen. Reicht das, um das 1,5 Grad-Ziel zu erreichen?
    Eine Analyse von Christiane Schulzki-Haddouti

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Asus 27" WQHD 144Hz 260,91€ • Alternate-Deals (u. a. Acer Nitro 27" FHD 159,90€) • Neuer Kindle Paperwhite Signature Edition vorbestellbar 189,99€ • Black Week bei NBB: Bis 50% Rabatt (u. a. MSI 31,5" Curved WQHD 165Hz 350€) • PS5 Digital mit FIFA 22 bei o2 bestellbar [Werbung]
    •  /