Το Microsoft Excel είναι ένα από τα πιο χρησιμοποιούμενα προγράμματα. Αυτό το καθιστά ελκυστικό στόχο για τους hackers. Μάλιστα, βρέθηκε πρόσφατα, ότι κάποια από τα νόμιμα χαρακτηριστικά του ίδιου του προγράμματος, μπορούν να βοηθήσουν ακόμα περισσότερο τους hackers. Με λίγα λόγια, το ίδιο το πρόγραμμα δημιουργεί πρόβλημα στον εαυτό του.
Ερευνητές από την εταιρεία Mimecast ανακάλυψαν ότι ένα χαρακτηριστικό του Excel, με το όνομα Power Query, μπορεί να διευκολύνει τους hackers να πραγματοποιήσουν επιθέσεις στο Office 365. Το Power Query δίνει τη δυνατότητα στους χρήστες να συνδυάζουν δεδομένα από διάφορες πηγές με ένα spreadsheet. Ωστόσο, αυτός ο μηχανισμός σύνδεσης διαφόρων στοιχείων μπορεί να χρησιμοποιηθεί από τους hackers για τη σύνδεση με ένα κακόβουλο site, που περιέχει κακόβουλο λογισμικό. Με αυτόν τον τρόπο, οι επιτιθέμενοι μπορούν να διαδώσουν κακόβουλα spreadsheet του Excel και να αποκτήσουν πρόσβαση στα συστήματα των θυμάτων.
“Οι επιτιθέμενοι δεν χρειάζεται να πραγματοποιήσουν μια πολύ εξελιγμένη επίθεση. Μπορούν απλά να ανοίξουν το Microsoft Excel και να χρησιμοποιήσουν τα δικά του εργαλεία“, λέει ο Meni Farjon, επικεφαλής επιστήμονας της Mimecast. “Το exploit θα λειτουργήσει σε όλες τις εκδόσεις του Excel, καθώς και στις νέες εκδόσεις, και πιθανότατα θα λειτουργήσει σε όλα τα λειτουργικά συστήματα και τις γλώσσες προγραμματισμού, επειδή βασίζεται σε ένα νόμιμο χαρακτηριστικό.
Όταν το Power Query συνδεθεί με ένα κακόβουλο site, οι επιτιθέμενοι μπορούν να ξεκινήσουν μια Dynamic Data Exchange επίθεση, η οποία εκμεταλλεύεται ένα πρωτόκολλο των Windows, που επιτρέπει σε εφαρμογές να μοιράζονται δεδομένα σε ένα λειτουργικό σύστημα. Οι εισβολείς μπορούν να ενσωματώσουν τις εντολές, που ενεργοποιούν την DDE στο site τους και στη συνέχεια να χρησιμοποιήσουν τις εντολές του Power Query σε ένα κακόβουλο spreadsheet, για να συγχωνεύσουν τα δεδομένα του site με αυτά του spreadsheet και να ξεκινήσουν την επίθεση DDE.
Η Microsoft μονίμως προειδοποιεί τους χρήστες όταν πρόκειται να συνδέσουν δύο προγράμματα, αλλά οι hackers καταφέρνουν να ξεγελούν τα θύματα με επιθέσεις DDE (τόσο σε έγγραφα του Word όσο και σε φύλλα του Excel) από το 2014.
Το 2017, η Microsoft είχε συμβουλεύσει τους χρήστες για το πώς να αποφύγουν τις επιθέσεις. Είχε προτείνει την απενεργοποίηση του DDE για διάφορα προγράμματα του Office suite. Ωστόσο, οι επιθέσεις συνεχίζονται. Όταν οι ερευνητές αποκάλυψαν τα ευρήματά τους για το Power Query, στη Microsoft, τον Ιούνιο του 2018, η εταιρεία είπε ότι δεν θα κάνει καμία αλλαγή στο χαρακτηριστικό. Όντως, δεν έχει γίνει καμία αλλαγή από τότε. Ο Farjon είπε ότι η εταιρεία του περίμενε μέχρι τώρα για να αποκαλύψει δημόσια τα ευρήματα, ελπίζοντας ότι η Microsoft θα έκανε κάποια αλλαγή. Στο μεταξύ, όλο αυτό το διάστημα δεν υπάρχουν στοιχεία που αποδεικνύουν ότι το Power Query χρησιμοποιείται σε επιθέσεις. Αυτές οι επιθέσεις είναι δύσκολο να εντοπιστούν, επειδή προέρχονται από ένα νόμιμο χαρακτηριστικό.
“Δυστυχώς, πιστεύω ότι οι επιτιθέμενοι θα το χρησιμοποιήσουν σίγουρα“, λέει ο Farjon.” Είναι εύκολο, εκμεταλλεύσιμο, φθηνό και αξιόπιστο“.
Εν τω μεταξύ, την προηγούμενη εβδομάδα, η Microsoft ενημέρωσε τους χρήστες της ότι οι hackers εκμεταλλεύονται ένα άλλο χαρακτηριστικό του Excel, για να παραβιάσουν Windows μηχανήματα, ακόμα και αν έχουν τις πιο πρόσφατες ενημερώσεις ασφαλείας. Αυτή η επίθεση, η οποία φαίνεται ότι στοχεύει κυρίως Κορεάτες, ξεκινάει από κακόβουλες μακροεντολές. Αυτή η επίθεση αποτελεί μεγάλο πρόβλημα για το Word και το Excel εδώ και χρόνια.
Οι χρήστες του Office 365 θέλουν νέα, χρήσιμα χαρακτηριστικά, αλλά κάθε νέο χαρακτηριστικό μπορεί να είναι και ένας νέος κίνδυνος. Όσο πιο ικανά και πιο ευέλικτα είναι τα προγράμματα, τόσο περισσότερο οι hackers μπορούν να τα εκμεταλλευτούν. Η Microsoft δήλωσε ότι το σύστημα σάρωσης του Windows Defender ήταν σε θέση να μπλοκάρει τις επιθέσεις μακροεντολών της περασμένης εβδομάδας, διότι γνώριζε τι έπρεπε να ψάξει. Αλλά τα ευρήματα της Mimecast δείχνουν ότι οι hackers πάντα βρίσκουν τρόπους να εισχωρήσουν στα συστήματα και να τα μολύνουν με κακόβουλα λογισμικά.
Η Microsoft λέει ότι τόσο οι κακόβουλες μακροεντολές όσο και το Power Query μπορούν να ελεγχθούν, με τη χρήση ενός χαρακτηριστικού διαχείρισης του Office 365, που ονομάζεται “group policies”. Αυτό το χαρακτηριστικό επιτρέπει στους διαχειριστές να προσαρμόζουν τις ρυθμίσεις σε όλες τις συσκευές του οργανισμού τους, ταυτόχρονα.
