Javascripts maken Excell kwetsbaar voor inbraak

Excel en de kraakmogelijkheden via Javascript

Excellogo

Maandag j.l. kondigde Microsoft op een ontwikkelingscongres in Seattle aan om het rekenbladprogramma Excel om dat programma meer mogelijkheden te geven. Je zou binnenkort ook Javascripts kunnen uitvoeren. Dat is misschien wel handig voor bijdehante Excellers, maar maakt het programma ook veel gevoeliger voor digitale inbraak, waarschuwen veiligheidsdeskundigen.

Met die veranderingen zou je webinformatie, bankgegevens of aandelenkoersen kunnen integreren in een rekenblad, maar Javascript creëert meteen ook meer toegangspunten en verbindingen met het web en maakt daarmee Excell extra kwetsbaar. Javascript zou toch al de nachtmerrie van de webbeveiligers zijn. Bovendien hebben e-krakers in het recente verleden al aangetoond dat wat hun betreft de Office-programma’s van Microsoft veel mogelijkheden bieden om hun malicieuze plannen ten uitvoer te brengen en Office is alomtegenwoordig.
“Javascript opent weer een nieuw aanvalsmogelijkheid”, zegt Chase Dardaman, die zich met kwaadaardige programmatuur bezighoudt. “Omdat het nog nieuw is weten we niet welke maatregelen Microsoft heeft getroffen. Ze zullen het opener en makkelijker in het gebruik willen maken (Javascript; as) en daardoor kunnen die scripts kwetsbaarheden worden.”

Javascript

Javascript is een programmeertaal waarmee je op het web allerlei handige dingen kunt doen. Zo worden ze gebruikt bij het afdraaien van filmpjes of bij formulieren, maar de scripts (progjes) zijn niet beperkt in hun ‘bereik’. Krakers kunnen daar misbruik van maken om systemen binnen te komen.
Zo zouden krakers Javascript hebben gebruikt om webstekken te gijzelen of informatie te stelen. Javascript is er al zo lang (sedert 1995) dat veel mensen de progjes gebruiken die anderen gemaakt hebben, met alle veiligheidsgevolgen van dien (ik moet eens kijken hoeveel Javascripts ik zelf gebruik; as)

Voorlopig is het bij Microsoft nog niet zo ver. Alleen enkele geprivilegeerden hebben een JavaExcel. Deskundigen hopen dat Microsoft standaard Javascript zal uitzetten. Microsoft reageert heel flink: “We nemen de digitale veiligheid van onze klanten heel ernstig.” Tuurlijk.
Ondertussen bekijken veiligheidsonderzoekers al wat krakers zoal met de nieuwe mogelijkheden kunnen doen. Dardaman liet zien dat via Excel (en het programma CoinHive, dat werkt met Javascript) cryptomunten zijn te delven. Hij kreeg het zelfs voor elkaar dat het delven ongemerkt weer begon als Excel werd geopend.

Deskundigen stellen dat een cryptomuntdelver niet het enige is dat je in een Excel-bestand met Javascript kunt stoppen. Hengelaars en inbrekers die zoeken naar mogelijkheden een systeem binnen te komen zouden iets kunnen doen met de Javascriptmogelijkheden om het systeem binnen te dringen en zelfs de regie over te nemen, waarschuwen mensen uit de webbeveiligingssector.
Microsoft heeft al eerder iets soortgelijks aan de hand gehad met macro’s in Office. Daarvoor ontwikkelden handige inbrekers om zooiberichten te verspreiden en gecomprimeerde bestanden.

Bron: Wired

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.