Microsoft Excel es sin duda, la aplicación de facto para hacer uso de hojas cálculo, sin embargo también está sirviendo como puerta de acceso a ciberatacantes, derivado de un agujero de seguridad detectado en la función Power Query, mejor conocida en español como «Obtener y transformar».
Power Query es una tecnología de conexión de datos que permite que los archivos Excel descubran, conecten, combinen y manipulen datos antes de importarlos desde fuentes remotas, como una base de datos externa, un documento de texto, otra hoja de cálculo o una página web.
Pues bien, investigadores de seguridad de la organización Mimecast Threat Center han ideado un método para abusar de Power Query, y ejecutar códigos maliciosos en los sistemas de los usuarios con una interacción mínima. La técnica se basa en la creación de documentos de Excel mal formados que utilizan Power Query para importar datos desde el servidor remoto de un atacante. Al usar Power Query, los atacantes podrían incrustar contenido malicioso en una fuente de datos separada y luego cargar el contenido en la hoja de cálculo cuando se abre. El código malicioso se puede usar para ejecutar malware que puede comprometer la máquina del usuario.
¿Cómo protegerse?
Mimecast dijo que se pusieron en contacto con Microsoft para exponer el hallazgo, sin embargo Microsoft no lo considera una vulnerabilidad y desde su óptica se trata de una funcionalidad legítima, de la cual un ciberatacante puede hacer un uso indebido, de manera que no pretende realizar alguna acción. Al momento la única manera de protegerse ante este tipo de ataque es deshabilitar la función DDE en Excel. Aquí encontrarás un enlace de Microsoft en el aviso KB4053440 de Microsoft que explica cómo hacerlo.
Es también muy importante subrayar que se deben extremar las precauciones al descargar archivos de Excel desde Internet.
