Microsoft Excel es mucho más que una app para hojas de cálculo. En ya más de 30 años de historia la app de Microsoft se ha utilizado para todo tipo de actividades, incluso para crear verdaderas obras de arte. Para lo que también está sirviendo Microsoft Excel es para hacer de puerta de acceso a hackers y atacantes, todo gracias a su función Power Query.
Power Query es una funcionalidad dentro de Microsoft Excel que permite acceder a datos de fuentes externas para crear bases de datos dentro de la hoja de cálculo.La herramienta permite además combinar, gestionar y compartir de diferentes formas estos datos dentro de Excel. Está disponible en las últimas versiones de Office, pero también se puede descargar de forma independiente para versiones previas.
Un entorno perfecto para atacantes
Un programa que permite ejecutar código proveniente de entornos externos se convierte en el objetivo ideal para el malware. En una investigación publicada por Mimecast han demostrado cómo se puede abusar de Power Query para ejecutar malware en el ordenador o dispositivo del usuario que esté utilizado Power Query de Excel. Tan simple como crear un documento Excel que utilice Power Query para importar datos desde un servidor externo del atacante.
Cuando el usuario abre un documento de Excel con Power Query aparece una barra advirtiendo de que hay contenido en remoto que cargar. Si el usuario autoriza habilitar la importación de Power Query se ejecuta el código malicioso desde el servidor remoto mediante Power Query. A partir de ahí el malware infecta el ordenador al completo. ¿Qué tiene de especial esta técnica? No todo el mundo desconfía de un documento de Excel como de un programa con un nombre sospechoso. Todo el sistema se basa en la confiabilidad que otorga tanto el usuario como el ordenador a Microsoft/Excel. No solamente es una puerta abierta para atacantes, sino que viene con alfombra incluida para entrar de la manera más cómoda.
Sin forma posible de arreglarlo
¿Qué puede hacer Microsoft al respecto? No mucho. Mimecast comenta que se han puesto en contacto con Microsoft para alertarles de la vulnerabilidad, sin embargo Microsoft se ha negado a solucionar el problema. No es que no quieran, es que realmente no pueden. La forma en la que se diseñó Power Query en Excel no presenta ningún fallo de funcionalidad, el problema radica en el uso que se le da a la herramienta.
En 2017 SensePost descubrió una vulnerabilidad similar que aprovechaba el intercambio dinámico de datos (DDE) para importar archivos de Excel maliciosos. Microsoft deshabilitó de forma predeterminada esta herramienta en Word, pero no en Excel, donde se usa más a menudo. La solución para evitar los ataques mediante Power Query radica en deshabilitar DDE en Excel, indica Microsoft. Al deshabilitar esta funcionalidad también se evita la entrada de malware mediante Power Query. Eso sí, deja de poder utilizarse.
Ver 14 comentarios