Sikkerhetsforskere i det amerikanske selskapet Mimecast advarer mot at Excel-funksjonaliteten «Power Query» utgjør en betydelig sikkerhetsrisiko.
– Sårbarheten er enkel, billig og pålitelig å utnytte, sier forskningssjef Meni Farjon til Wired.
Alarmen går ikke
Funksjonaliteten sørger blant annet for at Office-pakken og Excel spiller på lag med ulike webelementer. Dermed kan ondsinnede krefter hente infisert kode fra nett, uten at alarmen går.
Mimecast advarer om at sårbarheten vil kunne gi angripere administratorkontroll på offerenes datamaskiner.
Selskapet har holdt feilen hemmelig siden de oppdaget den for ett år siden, men feilen i programkoden skal ha vært tilstede helt siden 2014.
Vil ikke patche
Mimecast har gjentatte ganger forsøkt å få Microsoft til å patche Excel-hullet, men selskapet har ikke vist vilje til å hverken endre programkoden eller fase ut funksjonaliteten.
Siden feilen befinner seg i Excel vil ikke antivirusprodukter oppdage at det er fare på ferde, advarer sikkerhetsselskapet.
Microsoft opplyser til Wired at det er mulig å stenge ned funksjonaliteten ved hjelp av policyer på domenekontrollerne. Det skal også være mulig å deaktivere funksjonaliteten manuelt på lokale installasjoner.
– Angriperne trenger ikke å investere mye ressurser i et sofistikert angrepsverktøy, men kan nøye seg med å åpne Excel og benytte Microsofts egne verktøy for å oppnå samme formål, sier forskningssjef Meni Farjon til Wired.
