NoticiasSeguridad

Una brecha de Excel que podría afectar a millones de usuarios

Mimecast Service ha encontrado una vulnerabilidad de la función Power Query que abre una posible entrada de intrusos a esta hoja de cálculo.

Hace unos días, investigadores de la firma de seguridad Mimecast Services detectaron una vulnerabilidad que afecta a Microsoft Excel, una brecha que podría poner en riesgo a más de 120 millones de usuarios de esta hoja de cálculo.

Según estos expertos, los piratas informáticos pueden manipular la función Power Query en Excel que permite a los usuarios obtener datos de otros recursos. Esta laguna puede ser una puerta de entrada para iniciar un ataque de intercambio dinámico de datos (DDE) la hoja de cálculo. “No solo eso, esta vulnerabilidad puede incluso permitir a los intrusos lanzar un ataque más crítico que puede involucrar diferentes tipos de malware y puede comprometer fácilmente la máquina del usuario tan pronto como se active la hoja de cálculo”.

Y como consecuencia terrible, el control de la máquina queda en manos ajenas e introducir cargas maliciosas con apariencia inofensiva tanto para la víctima como para otras soluciones de seguridad.

La buena noticia es que Microsoft está al corriente de esta brecha e indican que los usuarios tienen que pasar por varias advertencias de seguridad antes de instalar cualquier malware en su sistema. También recomiendan  desactivar la función DDE “cuando no sea necesaria para poder bloquear las conexiones de datos externos”.

En relación con este incidente, Anurag Kahol, CTO en Bitglass comenta: "Aunque no se filtraron credenciales y los hackers no robaron información personal como resultado del error de Power Query, millones de usuarios podrían haber expuesto sus datos si los investigadores de Microsoft no hubieran encontrado y corregido la vulnerabilidad.  Sin embargo, a pesar de este particular escenario, las empresas no pueden confiar en terceros para encontrar y solucionar problemas de seguridad en sus sistemas. Las organizaciones deben adoptar un enfoque más proactivo para defender la información personal y las cuentas de los clientes".   

Computing 783