Надбудова для Excel, що застосовується для збору великих масивів даних з різних файлів, дозволяє запускати на атакованому ПК довільний код і шкідливе ПЗ. Microsoft не поспішає випускати патч безпеки – компанія обмежилася лише базовими рекомендаціями для користувачів.
(Не)корисна надбудова
У додатку Excel зі складу офісного пакету Microsoft Office виявлена уразливість, що дозволяє запускати на ПК жертви шкідливий код і сумнівне ПЗ. Для доступу до комп’ютерів користувачів хакери можуть використовувати пролом в системі безпеки, безпосередньо пов’язану з надбудовою Power Query.
Проблему виявили фахівці компанії Mimecast Services Ltd, повідомляє портал ZDNet. За їх підрахунками загроза злому ПК нависла над більш ніж 120 млн користувачів Excel по всьому світу.
Для чого використовується Power Query
Power Query – це порівняно нова надбудова для Excel, інтегрована до складу Office 2016 і 2019. Більш ранні версії пакету, 2013 і 2010 її не містять, але для них вона може бути завантажена з сайту Microsoft. Office 2007 і більш ранні релізи Power Query не підтримують.
Потрібна Power Query для збору даних з різних джерел, включаючи файли csv, xls, json, текстових файлів, папки з цими документами, а також бази даних. Надбудова підтримує різні API (Google Analytics, «Яндекс.Метрика», Facebook opengraph ін.) і дає можливість довантажувати всі отримані дані всередину таблиць Excel. Перед інтеграцією інформації в таблицю користувач може внести в неї необхідні зміни в спеціальному візуальному редакторі. Фактично, Power Query спрощує і прискорює роботу з великими масивами даних.
Microsoft все знала
Як відзначили експерти Mimecast Services Ltd, вони повідомили Microsoft про виявлену проблему з безпекою Power Query. Проте, станом на 28 червня 2019 р вразливість усунута не була.
Проблема в Power Query схожа з тією, що була виявлена в жовтні 2017 року в функції Excel під назвою Dynamic Data Exchange (DDE). Вона, як і Power Query, дозволяє хакерам довантажувати на атакований комп’ютер шкідливе ПЗ і запускати довільний код.
У листопаді 2017 р замість того, щоб випустити необхідний патч, Microsoft опублікувала на своєму сайті рекомендації щодо зниження ризику атаки за допомогою DDE, вся суть яких зводилася до відключення цієї функції. У випадку Power Query фахівці Microsoft порекомендували зробити те ж саме, тобто відключити і DDE, а в ряді випадків і саму Power Query.
DDE також використовується і в текстовому редакторі Word. У грудні 2017 р Microsoft відключила в ньому цю функцію за замовчуванням (можливість самостійної активації користувачем була збережена) шляхом випуску відповідного оновлення, проте Excel цей патч не зачепила.
Одним Excel все не обмежилося
Під загрозою злому виявилися не тільки користувачі редактора Excel. Функція Power Query також входить до складу комплексного ПЗ для бізнес-аналітики Power BI. Microsoft представила його в липні 2011 р в складі єдиної платформи Microsoft Power Platform і регулярно випускає оновлення і патчі для нього. У Mimecast Services Ltd не уточнили, скільки користувачів Power BI можуть постраждати.
Додамо, що вразливість зачіпає виключно Windows-версії Excel – в релізі для Apple macOS надбудова Power Query відсутня.
Прокрастинація Microsoft
Microsoft не завжди випускає патчі безпеки для Office вчасно. Зафіксовано випадок, коли компанія залатала пролом через 17 років з моменту її «інтеграції» в її програмне забезпечення.
Мова про уразливість в Office під індексом CVE-2017-11882, що існувала з 2000 р і була закрита лише в листопаді 2017 р. Проблему виявили в редакторі формул Microsoft Equation Editor (файл eqnedt32.exe), що входить до складу Office і скомпільованому в листопаді 2000 р. Звичайним користувачам він дозволяє додавати математичні формули в документи Office у вигляді динамічних OLE-об’єктів, але при цьому він запускає власний процес поза єдиного процесу Office. Відповідно, ніякі захисні засоби, додані в останні версії Windows або Office, процес редактора формул не використовує. В результаті цього хакери, запровадивши кілька спеціально підготовлених OLE-об’єктів, можуть змусити eqnedt32.exe виконувати довільну послідовність команд, в тому числі скачувати з зовнішнього джерела і запускати довільний код в обхід будь-якого захисту Windows і, що особливо важливо, без всякої взаємодії з її користувачем.
Джерело: internetua.com
