Acorde a especialistas en auditorías de seguridad informática existe una característica de Microsoft Excel llamada Power Query que podría ser usada por actores de amenazas para inyectar malware en sistemas remotos. Los expertos de la firma Mimecast Threat Center describieron la forma en la que la vulnerabilidad podría ser explotada a través de una prueba de concepto.
Power Query permite a los usuarios de Excel incrustar fuentes de datos externas en hojas de cálculo del servicio de Office. La firma de seguridad planteó un método de ataque para lanzar un ataque remoto DDE (intercambio dinámico de datos) en contra de una hoja de cálculo para entregar una carga útil maliciosa y controlarla a través de la función comprometida.
Acorde a los especialistas en auditorías de seguridad informática, Power Query también podría servir para lanzar ataques complejos y difíciles de detectar combinando varios vectores vulnerables. Explotando esta característica, los hackers podrían adjuntar software malicioso en una fuente de datos externa a Excel y cargar el contenido en la hoja de cálculo cuando el usuario la abre.
Los expertos mencionan que Microsoft colaboró con ellos en el proceso de divulgación de la falla; no obstante, la compañía ha decidido no lanzar una corrección para esta vulnerabilidad. En vez de corregir la falla con un parche, Microsoft sugiere a los usuarios un método alternativo para mitigar riesgos que involucra la difusión de una alerta de seguridad para la protección de las aplicaciones al usar la función DDE.
Uno de los posibles vectores de ataque comienza con los hackers alojando una página web externa en un servidor HTTP que contenga la carga maliciosa que será entregada en la hoja de cálculo. “El servidor HTTP escuchó localmente en el puerto 80 y sirvió contenido DDE como respuesta cuando se recibió una solicitud de la hoja de cálculo”, mencionaron los expertos en auditorías de seguridad informática.
Si el usuario elige permitir que los datos externos se carguen en la celda de la hoja de cálculo de Excel, comienza el ataque. Acorde a los expertos del Instituto Internacional de Seguridad Cibernética (IICS), para hacer que el DDE se ejecute, el usuario debe hacer doble clic en la celda que carga el DDE y luego hacer clic nuevamente para liberar la carga. Esas operaciones activarán el DDE y lanzarán la carga útil que se recibió del atacante.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad