Microsoft nægter at lukke ‘billigt, nemt og effektivt’ sikkerhedshul i Excel

Illustration: Virrage Images/Bigstock
Fejlen har i princippet eksisteret siden 2014, men Microsoft nægter at udfase den feature, der gør hacket muligt.

Sikkerhedsforskere har firmaet Mimecast offentliggører nu, at Excel-featuren ‘Power Query’ stadig er usikker. Power Query sørger for, at funktioner fra de forskellige Office-programmer og webelementer spiller sammen.

Derfor kan funktionen blandt andet også hente ting fra en inficeret hjemmeside uden at trigge nogle alarmer og på den måde åbne op for de grelleste hackerangreb, hvor angriberen får fuld kontrol over enheden og kan eksekvere og hente kode ned på enheden.

Læs også: Microsoft har i al stilhed slettet enorm database til ansigtsgenkendelse

»Angrebet er nemt, det er brugbart, billigt og pålideligt,« siger Meni Farjon, der er forskningschef hos Mimecast til Wired, der samtidig siger, at han netop derfor tror, hulelt vil blive brugt af angribere i virkeligheden.

Alligevel regner Microsoft ikke med at ændre i den problematiske feature, hverken i den nuværende eller kommende versioner af Office 365.

Derfor har Mimecast også holdt sårbarheden hemmelig i mere end et år i håb om, at Microsoft skiftede mening og udfasede eller ændrede power Query-funktionen.

Virker i alle versioner

Fordi der ikke er udsigt til en patch og sårbarheden også virker i ret gamle udgaver af Excel er der en høj sikkerhed for,a t det vil virke for en eventuel angriber.

Siden der er tale om et helt legitimt programs handlinger er det svært for antivirusprogrammer og anden software at opdage, at der er fare på færde, medmindre man sætter specifikke overvågninger op, skriver Wired.

Læs også: Microsoft antyder nyt styresystem

Der er visse workarounds, der kan mindske risikoen for denne type angreb, men de nye fund viser, at problemet ikke er løst ved dem.

Microsoft oplyser, at man kan styre power Querys og andre macrofunktioner som administrator gennem group policies, men brugerne selv skal også slå nogle af funktionerne fra manuelt og det rejser spørgsmålet, om Power Query og lignende, usikre funktioner overhovedet har sin berettigelse, skriver Wired.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize