Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Надстройка для Microsoft Excel позволяет запускать произвольный код и вредоносное ПО

01/07/19

В приложении Excel из состава офисного пакета Microsoft Office обнаружена уязвимость, позволяющая запускать на ПК жертвы вредоносный код и сомнительное ПО. Для доступа к компьютерам пользователей хакеры могут использовать брешь в системе безопасности, напрямую связанную с надстройкой Power Query.

Micro hack

Проблему выявили специалисты компании Mimecast Services Ltd, сообщает портал ZDNet. По их подсчетам проблема затрагивает более чем 120 млн пользователей Excel по всему миру.

Для чего используется Power Query

Power Query – это сравнительно новая надстройка для Excel, интегрированная в состав Office 2016 и 2019. Более ранние версии пакета, 2013 и 2010, ее не содержат, но для них она может быть скачана с сайта Microsoft. Office 2007 и более ранние релизы Power Query не поддерживают.

Нужна Power Query для сбора данных из различных источников, включая файлы csv, xls, json, текстовых файлов, папки с этими документами, а также базы данных. Надстройка поддерживает различные API (Google Analytics, «Яндекс.метрика», Facebook opengraph др.) и дает возможность подгружать все полученные данные внутрь таблиц Excel. Перед интеграцией информации в таблицу пользователь может внести в нее требуемые изменения в специальном визуальном редакторе. Фактически, Power Query упрощает и ускоряет работу с большими массивами данных.

Как отметили эксперты Mimecast Services Ltd, они уведомили Microsoft об обнаруженной проблеме с безопасностью Power Query. Тем не менее, по состоянию на 28 июня 2019 г. уязвимость устранена не была, замечает CNews.

Проблема в Power Query схожа с той, что была обнаружена в октябре 2017 г. в функции Excel под названием Dynamic Data Exchange (DDE). Она, как и Power Query, позволяет хакерам подгружать на атакуемый компьютер вредоносное ПО и запускать произвольный код.

В ноябре 2017 г., вместо того, чтобы выпустить необходимый патч, Microsoft опубликовала на своем сайте рекомендации по снижению риска атаки при помощи DDE, вся суть которых сводилась к отключению этой функции. В случае Power Query специалисты Microsoft порекомендовали сделать то же самое, то есть отключить и DDE, а в ряде случаев и саму Power Query.

DDE также используется и в текстовом редакторе Word. В декабре 2017 г. Microsoft отключила в нем эту функцию по умолчанию (возможность самостоятельной активации пользователем была сохранена) путем выпуска соответствующего обновления, однако Excel этот патч не затронул.

Темы:УгрозыMicrosoft OfficeMicrosoft Excel
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...