Luka w Power Query Excela naraża nawet 120 mln użytkowników

Excel, król arkuszy kalkulacyjnych, może narażać twój komputer na atak. Jeśli korzystasz z dodatku Power Query, atakujący może próbować umieścić malware w twoim systemie.

Power Query to dodatek do Excela, pobierający i łączący dane z różnych źródeł zewnętrznych. Dodatek może pobierać dane z plików lokalnych, łączyć się z usługami w chmurze i innymi źródłami zdalnymi. Ten mechanizm można wykorzystać także do złych celów.

Atak z wykorzystaniem Power Query zaprezentowali analitycy z firmy Mimecast Services. Atakujący mogą wykorzystać Power Query, by dynamicznie uruchomić zdalny atak na Excela. Atak odbywa się za pośrednictwem Dynamic Data Exchange – protokołu wymiany danych między aplikacjami. Atakujący mógłby uzyskać kontrolę nad zawartością arkusza w Excelu.

Podatność można wykorzystać także w bardziej złożonych i dyskretnych atakach. Specjaliści twierdzą, że można umieścić szkodliwe dane w zewnętrznym źródle i załadować je natychmiast po uruchomieniu Excela. W ten sposób atakujący mogą szybko i dyskretnie uzyskać informacje o podatnym systemie. Odpowiednio spreparowany zestaw danych może otworzyć drogę do instalacji malware'u, ale z zewnątrz nie będzie wyglądał podejrzanie.

Dodatek Power Query nie jest narzędziem dla „zwykłych śmiertelników”, ale i tak luka w nim naraża miliony systemów, pracujących przy analizie danych. Specjaliści szacują, że zagrożonych może być nawet 120 milionów komputerów. Zagrożenie jest poważne, choć na szczęście nie wykryto jeszcze udanych ataków.

Microsoft jeszcze nie wydał poprawki, ale z pewnością zrobi to w najbliższych dniach. Problem jest prawdopodobnie znany od dłuższego czasu. Już w 2017 roku Microsoft doradzał wyłączenie DDE, jeśli nie jest potrzebne – domyślnie protokół jest włączony. Trudno powiedzieć, czy firmy rzeczywiście to zrobiły.

Chwilowo Mimecast zaleca, by nie używać dodatku Power Query i skorzystać z innych metod łączenia i kształtowania danych z różnych źródeł w Excelu.