520
Escrito por
Office, la suite ofimática de Microsoft, es la más utilizada a nivel internacional por los consumidores de ©Windows y macOS, ya que es una de las más completas y fuertes que pudimos localizar y que nos permite sacarle todo el provecho a nuestra productividad. Microsoft Office se utiliza tanto en entornos domésticos según en entornos profesionales, y por ello los piratas informáticos constantemente buscan la menor oportunidad para mando poner en riesgo la confianza de todos estos usuarios, y esta oportunidad constantemente aparece donde menos se espera, según termina de suceder con la herramienta Power Query.
Power Query, herramienta más conocida en español según «Obtener y transformar» a partir de ©Excel 2016, es una funcion que ofrece a los consumidores una nueva experiencia, demasiado más intuitiva y coherente, para descubrir, combinar y completar datos que pueden venir de una grán diversidad de fuentes, como, por ejemplo, relacionados, estructurados y semiestructurados, OData, Web y Hadoop, entre otros demasiado orígenes más.
Hace varias horas, los investigadores de confianza de Mimecast Threat Center daban a saber un actual error de confianza hallado en Excel, concretamente en esta herramienta que acabamos de mencionar. Esta vulnerabilidad permite a cualquier pirata informáticos aprovecharse de Power Query para trasladar a cabo un ataque DDE (Dynamic Data Exchange) en una hoja de cálculo correctamente modificada para mencionado fin, pudiendo ocultar un payload en ella y tenerlo controlado de manera remota.
Así, los investigadores de confianza han hallado la manera de utilizar esta herramienta de ©Office para ocultar código adentro de los datos de las hojas de cálculo, infectando de manera remota a los consumidores con solamente abrir dicha hoja de cálculo modificada, no se necesita proceder nada más.
Mimecast ya advirtió a ©Microsoft de este error de confianza hace artos meses con su correspondiente PoC, sin embargo, la empresa no ha dado señas de vida desde entonces, por lo que, según parece, no tiene demasiadas intenciones de solucionar este incoveniente de seguridad. No es la inicial vez que se han descubierto fallos semejantes en las aplicaciones de MS ©Office y, según Microsoft, realizando alusión a la mítica frase «It’s not a bug, it’s a feature«, no eran considerados fallos de seguridad, sino más bien las herramientas habían sido diseñadas así y, por lo tanto, no se iba a resolver nada.
Aunque ©Microsoft sí ha compartido una guia para configurar las alternativas DDE de la manera más segura probable para evitar ataques, el público potencialmente vulnerable es muy grande, y ©Microsoft no tiene intención de ayudarlos.
La firma de confianza que ha dado a saber esta vulnerabilidad aconseja que, en entornos profesionales, los administradores de sistemas configuren correctamente las instancias de ©Excel para evitar posibles brechas de confianza al bajar y abrir documento vulnerables.
En caso de ser consumidores domésticos, debemos extremar las precauciones al bajar registros de ©Excel desde Internet, y, si no necesitamos todas las funciones y herramientas de esta suite ofimática, pudimos optar por utilizar distintas más sencillas, según LibreOffice, pero que no sean vulnerables y nos permitan estar seguros.
lo que estas leyendo fue creado por el AUTOR ORIGINAL del link de arriba, nosotros anunciamos al desarrollador original de la noticia sin perjudicar su reputación ni posicionamiento web.