O Microsoft Excel tem mais de 30 anos de vida, e muitos profissionais utilizam hoje a folha de cálculo da Microsoft. E sua popularidade faz também com que hackers e atacantes olhem o software como um alvo em potencial. Ainda mais agora, com a falha na função Power Query.
O Power Query é um recurso dentro do Microsoft Excel que permite acessar aos dados de fontes externas para criar bases de dados dentro da folha de cálculo, permitindo combinar, gerenciar e compartilhar de diferentes formas esses dados dentro do Excel. O recurso faz parte das últimas versões do Office, mas pode ser utilizado de forma independente para versões prévias.
Um ambiente perfeito para os atacantes
Um programa que permite a execução de código vindo de ambientes externos se transforma automaticamente no alvo ideal para malwares. Agora, os hackers podem usar o Power Query para executar malwares no computador ou dispositivo do usuário via Excel, tão simples quanto criar uma tabela para importar dados a partir do servidor externo do atacante.
Quando o usuário abre um documento do Excel, ele executa o código malicioso que está no servidor remoto mediante o Power Query. Então, o malware infecta o computador por completo. A técnica é peculiar porque nem todo mundo desconfia de um documento do Excel. Todo a trapaça se baseia na confiança que outorga tanto o usuário como o computador ao Microsoft Excel. Não apenas é uma porta aberta para os atacantes, mas tem até uma almofada esperando pelo atacante depois da porta.
Não dá para corrigir esse erro
A Microsoft não pode fazer muito para corrigir essa falha. Aliás, de acordo com a Mimecast, que foi quem descobriu e denunciou o problema, a gigante de Cupertino se recusou a solucionar o problema porque simplesmente não conseguem fazer isso. A forma em como o Power Query no Excel foi desenvolvido não apresenta falhas de funcionalidade, onde o principal problema está no uso que é dado para a ferramenta.
Uma vulnerabilidade similar foi descoberta em 2017. Ela se aproveitava da troca dinâmica de dados (DDE) para importar arquivos do Excel maliciosos. A Microsoft desabilitou a ferramenta no Word, mas não no Excel. A única solução para evitar os ataques via Power Query é desabilitar o DDE no Excel, segundo a própria Microsoft.