Office, la suite ofimática de Microsoft, es la más utilizada a nivel mundial por los usuarios de Windows y macOS, ya que es una de las más completas y potentes que podemos encontrar y que nos permite sacarle todo el provecho a nuestra productividad. Microsoft Office se utiliza tanto en entornos domésticos como en entornos profesionales, y por ello los piratas informáticos siempre buscan la menor oportunidad para poder poner en peligro la seguridad de todos estos usuarios, y esta oportunidad siempre aparece donde menos se espera, como acaba de ocurrir con la herramienta Power Query.

Power Query, herramienta más conocida en español como «Obtener y transformar» a partir de Excel 2016, es una función que ofrece a los usuarios una nueva experiencia, mucho más intuitiva y coherente, para descubrir, combinar y completar datos que pueden venir de una gran variedad de fuentes, como, por ejemplo, relacionados, estructurados y semiestructurados, OData, Web y Hadoop, entre otros mucho orígenes más.

Hace algunas horas, los investigadores de seguridad de Mimecast Threat Centerdaban a conocer un nuevo fallo de seguridad encontrado en Excel, concretamente en esta herramienta que acabamos de mencionar. Esta vulnerabilidad permite a cualquier pirata informáticos aprovecharse de Power Query para llevar a cabo un ataque DDE (Dynamic Data Exchange) en una hoja de cálculo correctamente modificada para dicho fin, pudiendo ocultar un payload en ella y tenerlo controlado de forma remota.

Así, los investigadores de seguridad han encontrado la forma de usar esta herramienta de Office para ocultar código dentro de los datos de las hojas de cálculo, infectando de forma remota a los usuarios con solo abrir dicha hoja de cálculo modificada, no se necesita hacer nada más.

Cómo protegernos de estos ataques informáticos basados en Excel

Mimecast ya informó a Microsoft de este fallo de seguridad hace varios meses con su correspondiente PoC, sin embargo, la compañía no ha dado señales de vida desde entonces, por lo que, según parece, no tiene muchas intenciones de solucionar este problema de seguridad. No es la primera vez que se han descubierto fallos similares en las aplicaciones de MS Office y, según Microsoft, haciendo alusión a la mítica frase «It’s not a bug, it’s a feature«, no eran considerados fallos de seguridad, sino más bien las herramientas habían sido diseñadas así y, por lo tanto, no se iba a solucionar nada.

Aunque Microsoft sí ha compartido una guía para configurar las opciones DDE de la forma más segura posible para evitar ataques, el público potencialmente vulnerable es muy grande, y Microsoft no tiene intención de ayudarlos.

La firma de seguridad que ha dado a conocer esta vulnerabilidad recomienda que, en entornos profesionales, los administradores de sistemas configuren correctamente las instancias de Excel para evitar posibles brechas de seguridad al descargar y abrir documentos vulnerables.

En caso de ser usuarios domésticos, debemos extremar las precauciones al descargar archivos de Excel desde Internet, y, si no necesitamos todas las funciones y herramientas de esta suite ofimática, podemos optar por usar otras más sencillas, como LibreOffice, pero que no sean vulnerables y nos permitan estar seguros.

Fuente: redeszone.net

Compartir