In Cybersicherheits-Governance- und Compliance-Prozessen ist der Datenexport eine tägliche Routine. Ob Sie einen konsolidierten Vorfallbericht für ein NIS 2-Audit bereitstellen, die Liste nicht konformer Maschinen für die Verwaltung extrahieren oder einen monatlichen Abrechnungsverlauf für einen MSSP-Kunden erstellen, das FormatCSV (durch Kommas getrennte Werte)ist der absolute Industriestandard. Es handelt sich um ein einfaches, universelles Format, das von Software wie Microsoft Excel oder Google Sheets problemlos gelesen werden kann.
Hinter dieser Einfachheit verbirgt sich jedoch eine heimtückische Software-Schwachstelle, die von Sicherheitsteams allzu oft ignoriert wird:CSV-Injektion (oder Formel-Injektion). Ein Angreifer kann die Daten seines Angriffs manipulieren, um die Exportdatei abzufangen und die Kontrolle über den Computer des Administrators oder Buchhalters zu übernehmen, der das Dokument öffnet. Lassen Sie uns entschlüsseln, wie dieser Fehler funktioniert und welche chirurgische Methode ihn schützt.
Der Formel-Injection-Mechanismus (The Spreadsheet Attack)
Wie funktioniert eine CSV-Injektion? Der Angriff zielt nicht auf den SaaS-Server, der die Datei generiert, sondern auf die Client-Anwendung (die Excel-Tabelle), die sie interpretiert.
Microsoft Excel und moderne Tabellenkalkulationen verfügen über eine native Funktion: Wenn eine Textzelle mit einem mathematischen Symbol wie beginnt=(gleich),+(mehr),-(weniger) oder@(at) zeigt die Software den Rohtext nicht an, sondern interpretiert ihn alsdynamische Formel.
Ein böswilliger Angreifer, der weiß, dass Ihre SOC-Teams regelmäßig den Vorfallverlauf exportieren, wird sein kompromittiertes Gerät freiwillig umbenennen oder eine bestimmte Zeichenfolge in seine Nutzdaten einfügen.
Beispielsweise wird der Computername oder die verdächtige Befehlszeile mit folgendem Titel konfiguriert:
=CMD|'/c calc.exe'!A1
Das Infektionsszenario
- Microsoft Defender erkennt die Warnung auf dem Computer mit diesem bösartigen Namen und leitet sie an den SOC-Orchestrator weiter.
- Am Ende des Monats geht der Systemadministrator oder MSSP zur Akuity SOC-Einstellungsseite und klickt darauf„Generieren Sie ein CSV-Archiv“um den vollständigen Ticketverlauf zu extrahieren.
- Die Anwendung generiert die Datei sauber und versendet sie per E-Mail oder direktem Download.
- Der Administrator (oder die Buchhaltung für die Abrechnung verbrauchter Vorfälle) öffnet die Datei in Microsoft Excel.
- Excel trifft auf eine Zelle, die mit beginnt
=. Es interpretiert den dynamischen BefehlCMD, führt das Windows Data Exchange Protocol (DDE) aus und startet die Eingabeaufforderung, um Schadcode auszuführen (in diesem einfachen Beispiel das Öffnen des Taschenrechners).calc.exe). Der Hacker hat gerade den Computer des Sicherheitsadministrators gehackt.
Akuitys Antwort: Automatische Bereinigung von Exporten
Angesichts dieses kritischen Risikos, das die Verantwortung und das Vertrauen des Unternehmens direkt gefährdet, kann eine Cybersicherheitsplattform der Unternehmensklasse nicht einfach die Schwächen von Microsoft Excel dafür verantwortlich machen. Vor dem Generieren der Datei muss eine strenge Datenbereinigung (Sanitization) durchgeführt werden.
Dies ist die defensive Architektur, die im Exportparameter-Verwaltungsmodul implementiert ist.Akuity SOC.
Die Sicherheits-Apostroph-Regel
Wenn Sie die Generierung eines CSV-Archivs (oder eines konsolidierten Abrechnungsberichts, der Superadministratoren vorbehalten ist) auslösen, überprüft die Backend-Engine der Plattform jede Textzelle, bevor sie in die Exportdatei geschrieben wird.
Wenn ein Datenelement (sei es ein Benutzername, ein Tickettitel oder eine IOC-Beschreibung) mit einem der vier formelauslösenden Zeichen beginnt (=,+,-,@), wendet das System sofort einen Sicherheitsmodifikator an:Es stellt der Zelle ein einzelnes Apostroph voran (').