Microsoft nægter at lukke ‘billigt, nemt og effektivt’ sikkerhedshul i Excel

1. juli 2019 kl. 10:303
Microsoft nægter at lukke ‘billigt, nemt og effektivt’ sikkerhedshul i Excel
Illustration: Icon Stocker | Bigstock.
Fejlen har i princippet eksisteret siden 2014, men Microsoft nægter at udfase den feature, der gør hacket muligt.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Sikkerhedsforskere har firmaet Mimecast offentliggører nu, at Excel-featuren ‘Power Query’ stadig er usikker. Power Query sørger for, at funktioner fra de forskellige Office-programmer og webelementer spiller sammen.

Derfor kan funktionen blandt andet også hente ting fra en inficeret hjemmeside uden at trigge nogle alarmer og på den måde åbne op for de grelleste hackerangreb, hvor angriberen får fuld kontrol over enheden og kan eksekvere og hente kode ned på enheden.

»Angrebet er nemt, det er brugbart, billigt og pålideligt,« siger Meni Farjon, der er forskningschef hos Mimecast til Wired, der samtidig siger, at han netop derfor tror, hulelt vil blive brugt af angribere i virkeligheden.

Alligevel regner Microsoft ikke med at ændre i den problematiske feature, hverken i den nuværende eller kommende versioner af Office 365.

Artiklen fortsætter efter annoncen

Derfor har Mimecast også holdt sårbarheden hemmelig i mere end et år i håb om, at Microsoft skiftede mening og udfasede eller ændrede power Query-funktionen.

Virker i alle versioner

Fordi der ikke er udsigt til en patch og sårbarheden også virker i ret gamle udgaver af Excel er der en høj sikkerhed for,a t det vil virke for en eventuel angriber.

Siden der er tale om et helt legitimt programs handlinger er det svært for antivirusprogrammer og anden software at opdage, at der er fare på færde, medmindre man sætter specifikke overvågninger op, skriver Wired.

Der er visse workarounds, der kan mindske risikoen for denne type angreb, men de nye fund viser, at problemet ikke er løst ved dem.

Artiklen fortsætter efter annoncen

Microsoft oplyser, at man kan styre power Querys og andre macrofunktioner som administrator gennem group policies, men brugerne selv skal også slå nogle af funktionerne fra manuelt og det rejser spørgsmålet, om Power Query og lignende, usikre funktioner overhovedet har sin berettigelse, skriver Wired.

3 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
3
1. juli 2019 kl. 22:03

Så vidt jeg har forstået er den eneste forskel at man kan lægge sin payload på en server hvor man kan opdatere den, og muligvis kan det bruges til at snyde noget antivirus. Så ja, man skal sige ja til makroadvarslen for at blive ramt.

2
1. juli 2019 kl. 18:51

Så vidt jeg ved bliver man advaret hvis man åbner et Microsoft dokument med makroer. Glæder det også disse power queries? For ellers er det alene en stor forskel.

1
1. juli 2019 kl. 10:54

Det er vist ikke meget andet end den velkendte historie om at Office macroer kan køre arbitrær kode. Hvis man vil have de avancerede features følger der et sikkerhedsansvar med, præcis ligesom når man kører almindelige programmer.