TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Ofir Shlomo นักวิจัยด้านความมั่นคงปลอดภัยจาก Mimecast Threat Center ได้พบวิธีการใช้งานฟีเจอร์ Power Query บน Excel เพื่อใช้ลอบรันโค้ดอันตรายได้ อย่างไรก็ตามได้แจ้งต่อ Microsoft ไปแล้วแต่ถูกปฏิเสธความรับผิดชอบกลับมาเพราะบริษัทไม่ถือว่าเป็นช่องโหว่จริงจากการออกแบบ
Power Query คือเทคโนโลยี Data Connection ที่ให้เกิดการค้นหา เชื่อมต่อ และผสมผสานข้อมูลก่อนจะดึงออกจากต้นทางภายนอกได้ เช่น ฐานข้อมูลภายนอก Text Document หรือ Spreedsheet หรือเว็บเพจ ทั้งนี้นักวิจัยเขียนอธิบายว่าเมื่อซอร์สถูกลิงก์เข้าหากันข้อมูลจะสามารถถูกโหลดและบันทึกเข้ามาใน Spreadsheet หรือจะเกิดการโหลดเมื่อเปิดเอกสารก็ได้ (Dynamic)
“คนร้ายสามารถฝังโค้ดอันตรายไว้ในแหล่งที่มาภายนอกก่อน จากนั้นค่อยโหลดเนื้อหาเข้ามาใน Spreedsheet ตอนเปิดเอกสารซึ่งโค้ดอันตรายนั้นอาจจะใช้เพื่อเรียกหรือลอบรันมัลแวร์บนเครื่องเหยื่อได้“–นักวิจัยอธิบาย โดยเทคนิคนี้ยังสามารถ Bypass การป้องกันของ Sandbox ที่ทำการวิเคราะห์เอกสารที่ส่งผ่านทางอีเมลได้ด้วย อย่างไรก็ตามนักวิจัยได้แจ้งต่อ Microsoft แล้วแต่ถูกปฏิเสธที่จะออกแพตช์เพราะให้เหตุผลว่าไม่ได้เกิดจากการออกแบบ ถึงกระนั้นก็แนะนำให้บรรเทาปัญหาด้วยการปิดฟีเจอร์ Dynamic Data Exchange (DDE) ที่ถูกใช้โดย Power Query ก็น่าจะป้องกันได้
ติดตามข้อมูลจากบล็อกของ Mimecast ได้ที่นี่
ที่มา : https://www.zdnet.com/article/microsoft-excel-power-query-feature-can-be-abused-for-malware-distribution/ และ https://redmondmag.com/articles/2019/06/27/microsoft-excel-dde-flaw.aspx และ https://betanews.com/2019/06/27/excel-power-query-remote-dde/
