פגיעות חדשה של Excel מסכנת 120 מיליון משתמשים

חוקרי אבטחה מצאו פגיעות חדשה ב-Microsoft Excel שעלולה לסכן יותר מ-120 מיליון משתמשים. הפגיעות התגלתה על ידי חוקרים בחברת האבטחה Mimecast Services Ltd.

הפגיעות מנצלת את פונקציית Power Query ב-Excel המאפשרת למשתמשים למשוך נתונים ממקורות אחרים. חוקרים ב-Mimecast Services Ltd פרסמו את א בלוג (באמצעות סיליקון) מסביר את הפגיעות שיש כיצד ניתן לנצל אותה על ידי האקרים. הפגיעות תאפשר להאקרים להשתמש ב-Power Query כדי להפעיל התקפת חילופי נתונים דינמיים מרחוק לתוך גיליון אלקטרוני של Excel. לא רק זה, אלא שהפגיעות גם תאפשר להאקרים להפעיל התקפות מתוחכמות יותר הכוללות תוכנות זדוניות שעלולות לסכן את המחשב של המשתמש ברגע שהגיליון האלקטרוני נפתח.

התכונה מעניקה פקדים עשירים כל כך שאפשר להשתמש בה לטביעת אצבע של ארגז חול או מכונה של קורבן עוד לפני מסירת מטענים כלשהם. לתוקף יש בקרות פוטנציאליות של מטען מראש וניצול מראש והוא עלול לספק מטען זדוני לקורבן, תוך שהוא גם גורם לקובץ להיראות לא מזיק לארגז חול או לפתרונות אבטחה אחרים.

הדבר הטוב הוא שמיקרוסופט כבר יודעת על הפגיעות ופרסמה שוב ייעוץ נובמבר 2017. הייעוץ ציין שמשתמשים יצטרכו ללחוץ על מספר אזהרות אבטחה כדי להתקין תוכנות זדוניות במערכת שלהם. מיקרוסופט גם המליצה למשתמשים להשבית את תכונת DDE כאשר אינה בשימוש כדי לחסום חיבורי נתונים חיצוניים.

Mimecast ממליצה בחום לכל לקוחות Microsoft Excel ליישם את הדרכים לעקיפת הבעיה שהציעה מיקרוסופט מכיוון שהאיום הפוטנציאלי על משתמשי Microsoft אלה הוא אמיתי והניצול עלול להזיק.

הדבר הטוב הוא שאין דיווח על ניצול הפגיעות בטבע. החדשות הרעות, לעומת זאת, הן שתכונת ה-DDE מופעלת בדרך כלל כברירת מחדל וייתכן שמשתמשים לא יכבו אותה כאשר היא אינה בשימוש. מני פרג'ון, המדען הראשי ב-Mimecast, ציין כי לא ברור כמה ארגונים עוקבים אחר העצות המוקדמות של מיקרוסופט, ואמר כי "לא סביר שארגונים רבים השביתו את זה".

נכון לעכשיו, מיקרוסופט פרסמה זה עתה הודעת ייעוץ והיא מסתמכת על המשתמשים לנקוט בפעולות מתאימות. הדבר החכם לעשות כרגע הוא להשבית את תכונת ה-DDE ולא להוריד ולפתוח גיליונות אלקטרוניים שנשלחו במיילים. אחרון חביב, ודא שאינך מתעלם מהנחיות אבטחה מ-Excel מכיוון שאלו עשויות להזהיר אותך מפני תוכנות זדוניות פוטנציאליות.