Microsoft annonserte nylig at Excel skal få støtte for egne, skreddersydde funksjoner ved hjelp av JavaScript. Dette gjorde sikkerhetseksperter rundt om i verden urolige.
Selv om tanken er god, åpner dette for mange potensielt skumle situasjoner. Funksjonen er enn så lenge bare tilgjengelig i Developer Preview-utgaven av regnskapsprogrammet, men kommer trolig til alle utgaver snart.
Når en åpner for å kunne bruke egen JavaScript-kode i et program som ikke tidligere har hatt dette, pleier det historisk sett å være en del sikkerhetsproblemer med dette i begynnelsen.
Sikkerhetsforskeren Chase Dardaman har allerede funnet en måte å utnytte dette på. Dardaman har klart å laste inn og kjøre kode som brukes til å utvinne kryptovaluta ved hjelp av åpen kildekode fra Coinhive.
Selv om Dardaman sin utnyttelse av JavaScript-funksjonaliteten er forholdsvis ufarlig, viser dette hvor enkelt det er å utnytte denne type funksjonalitet til helt andre ting enn det det er ment for. Mange frykter også at dette kan utnyttes til å få tilgang til maskinen din, filene dine og gi mulighet til å kjøre ondsinnet programvare.
NorSIS anbefaler
Være varsom når du laster ned vedlegg i eposter eller filer fra nettet. Mange er kanskje klar over at programmer (EXE-filer) kan være skadelige, men det er langt flere filtyper som kan være skadelige. Blant annet kan Microsoft Office-filer (Word, Excel, PowerPoint) inneholde noe som heter «makroer» som kan utnyttes til ondsinnede handlinger. I tillegg til dette kan nå altså Excel-filer også inneholde JavaScript som kan være ondsinnet.
Bare åpne filer fra personer du stoler på, og vær sikker på at filen faktisk ble sendt fra personen du mottok den fra.
Hvis du er i tvil finnes det tjenester som kan skanne filen for deg for å se om det er noe som kan være skummelt. For eksempel virustotal.com. Spør gjerne noen som har mer teknisk kompetanse eller kontakt NorSIS.
Les mer
Les mer om Dardaman sitt eksperiment her:
https://twitter.com/CharlesDardaman/status/993912675804614657
https://www.bleepingcomputer.com/news/security/poc-developed-for-coinhive-mining-in-excel-using-custom-javascript-functions/
Les mer om hvordan JavaScript funksjonaliteten fungerer på Microsoft sine nettsider:
https://docs.microsoft.com/en-us/office/dev/add-ins/excel/custom-functions-overview
Omtale av saken på Digi.no:
https://www.digi.no/artikler/brukte-splitter-ny-javascript-stotte-til-a-utvinne-kryptovaluta-i-excel/436852