Надстройка для Microsoft Excel позволяет запускать произвольный код и вредоносное ПО
01/07/19
В приложении Excel из состава офисного пакета Microsoft Office обнаружена уязвимость, позволяющая запускать на ПК жертвы вредоносный код и сомнительное ПО. Для доступа к компьютерам пользователей хакеры могут использовать брешь в системе безопасности, напрямую связанную с надстройкой Power Query.
Проблему выявили специалисты компании Mimecast Services Ltd, сообщает портал ZDNet. По их подсчетам проблема затрагивает более чем 120 млн пользователей Excel по всему миру.
Для чего используется Power Query
Power Query – это сравнительно новая надстройка для Excel, интегрированная в состав Office 2016 и 2019. Более ранние версии пакета, 2013 и 2010, ее не содержат, но для них она может быть скачана с сайта Microsoft. Office 2007 и более ранние релизы Power Query не поддерживают.
Нужна Power Query для сбора данных из различных источников, включая файлы csv, xls, json, текстовых файлов, папки с этими документами, а также базы данных. Надстройка поддерживает различные API (Google Analytics, «Яндекс.метрика», Facebook opengraph др.) и дает возможность подгружать все полученные данные внутрь таблиц Excel. Перед интеграцией информации в таблицу пользователь может внести в нее требуемые изменения в специальном визуальном редакторе. Фактически, Power Query упрощает и ускоряет работу с большими массивами данных.
Как отметили эксперты Mimecast Services Ltd, они уведомили Microsoft об обнаруженной проблеме с безопасностью Power Query. Тем не менее, по состоянию на 28 июня 2019 г. уязвимость устранена не была, замечает CNews.
Проблема в Power Query схожа с той, что была обнаружена в октябре 2017 г. в функции Excel под названием Dynamic Data Exchange (DDE). Она, как и Power Query, позволяет хакерам подгружать на атакуемый компьютер вредоносное ПО и запускать произвольный код.
В ноябре 2017 г., вместо того, чтобы выпустить необходимый патч, Microsoft опубликовала на своем сайте рекомендации по снижению риска атаки при помощи DDE, вся суть которых сводилась к отключению этой функции. В случае Power Query специалисты Microsoft порекомендовали сделать то же самое, то есть отключить и DDE, а в ряде случаев и саму Power Query.
DDE также используется и в текстовом редакторе Word. В декабре 2017 г. Microsoft отключила в нем эту функцию по умолчанию (возможность самостоятельной активации пользователем была сохранена) путем выпуска соответствующего обновления, однако Excel этот патч не затронул.