Hakerzy wykorzystali nowe funkcje Excela do kopania kryptowalut

Fot. Microsoft
Ekspert do spraw bezpieczeństwa Charles Dardaman umieścił w Excelu kod JavaScript obliczający kryptowalutę Monero na komputerze użytkownika. Wykorzystał do tego nowe funkcje arkusza kalkulacyjnego zaprezentowane przez Microsoft na tegorocznej konferencji programistycznej Build.

Nowe funkcje pakietu biurowego Microsoftu dostępne są w programie dla Insiderów, ale w przyszłości prawdopodobnie pojawią się w pełnej wersji pakietu biurowego. W celu stworzenia złośliwego programu, Dardaman skorzystał z instrukcji umieszczonej na stronach Microsoftu, a także kodu źródłowego opublikowanego przez koncern na swoim koncie w serwisie GitHub. Po wykonaniu wszystkich potrzebnych kroków, ekspert wstawił do komórki Excela wywołanie JavaScriptu odpowiedzialnego w tym wypadku za obliczanie kryptowaluty monero. W podobny sposób działają niektóre strony, które wykorzystują moc obliczeniową komputerów swoich czytelników bez ich wiedzy.

Co ważne, skrypt uruchamia się za każdym razem, kiedy ktoś otworzy tak przygotowany dokument Excela. Na dodatek użytkownik nie jest informowany w żaden sposób o tym fakcie. Teoretycznie obsługa JavaScriptu miała ułatwić pracę. Podobnie jak w przypadku makr języka Visual Basic, programiści mogą użyć funkcji JavaScriptu do tworzenia zaawansowanych arkuszy kalkulacyjnych przypominających proste aplikacje. Jednak w praktyce makra stanowią furtkę, którą hakerzy wykorzystują do zarażania komputerów złośliwym kodem. Po wprowadzeniu obsługi dodatkowego języka skryptowego, będzie to jeszcze łatwiejsze.

Excel będzie obsługiwał kod JavaScript (graf. Microsoft)

Jakby tego było mało, nie jest to jedyna nowa funkcja, która może ułatwić zadanie przestępcom. Microsoft planuje wprowadzić także w innych swoich programach biurowych funkcje dostępne dla programistów. Jako przykład na konferencji Build zobaczyliśmy możliwość dokonywania opłat bezpośrednio w Outlooku. Jednak okazuje się, że sam program pocztowy Microsoftu nie będzie świadczył takich usług, a jedynie pozwoli zewnętrznym serwisom płatniczym podpiąć wtyczkę. Niewykluczone, że ten mechanizm wykorzystają oszuści w celu wyłudzania pieniędzy od użytkowników.

Pamiętajmy, że kontrowersyjne funkcje są dostępne na razie tylko w wersji testowej dla ograniczonej liczby użytkowników. Możliwe zatem, że w ogóle nie pojawią się w wersji finalnej pakietu biurowego Microsoftu. W przeciwnym razie administratorzy sieci powinni zastanowić się nad systemowym zablokowaniem możliwości korzystania z JavaScriptu i wspomnianych widgetów przez użytkowników firmowych komputerów. | CHIP