На конференции Build 2018 разработчики Microsoft сделали интересное объявление: скоро в Excel появится поддержка кастомной функциональности JavaScript. Таким образом, пользователи смогут создавать собстыенные формулы, которые буду сохраняться в общей базе формул. Затем такие формулы можно будет вставлять и использовать в таблицах Excel, причем работать с ними будет JavaScript интерпретатор, а не движок самого Excel.

Пока поддержка такой кастомной функциональности JavaScript не реализована в стабильных релизах и доступна лишь пользователям Developer Preview для Windows и Mac, а также в Excel Online. Чтобы опробовать новинку, пользователь должен быть участником программы Office Insiders.

Эксперты по информационной безопасности восприняли данный анонс по-своему. Сначала интернет заполонили шутки на тему «что может пойти не так?», а спустя всего пару дней после объявления, специалисты и вовсе продемонстрировали, что при помощи JavaScript функциональности в Excel можно будет, к примеру, внедрить майнера. В частности, работающий proof-of-concept уже создал Чейз Дарраман (Chase Dardaman).

Дардаман объяснил журналистам издания Bleeping Computer, что в настоящее время кастомная JavaScript  функциональность работает следующим образом. При создании новой формулы создаются три файла, хранящиеся на сервере: файл JS, содержащий кастомное уравнение, файл HTML, отвечающий за загрузку ваших JavaScript файлов, а также файл конфигурации JSON. Также понадобится создать локальный файл XML, который будет играть роль манифеста.

Во время задействования такого уравнения, Excel, в сущности, создает скрытый браузер, который подгружает необходимые файлы, а затем выполняет кастомные JavaScript функции. Исследователь пишет, что ему не составило труда создать собственную «формулу», которая загружает в скрытый браузер приложения майнер CoinHive. При этом специалист подчеркнул, что ранее никогда не работал с Excel и его макросами в таком ключе, но справился с задачей всего за час.

На иллюстрации ниже видно, что в результате скрытый майнер, работающий в Microsoft Excel Web Content, во время тестов нагрузил CPU тестовой машины на 206%.

Подробный отчет о проделанной работе и создании PoC-эксплоита специалист опубликовал в своем блоге. Там он пишет, что пока данная функциональности находится в стадии тестирования и о массовых атаках речи идти не может, однако со временем кастомная JavaScript функциональность выйдет из беты, и тогда злоумышленники определенно не оставят это нововведение без внимания.

1 комментарий

  1. emeliyanov

    23.05.2018 at 04:26

    > о массовых атаках
    Ну какая это атака? Просто жрёт ресурсы. Если я в свой сайт вставлю JavaScript типа while (true) { i++; }, это тоже атака что ли?

Оставить мнение