کمیته رکن چهارم – اواسط این هفته، مایکروسافت از افزوده شدن قابلیتی به Excel خبر داد که امکان فراخوانی و استفاده از توابع نوشته شده به زبان JavaScript را در این نرمافزار فراهم میسازد.
این قابلیت، کاربر را قادر خواهد کرد تا توابع سفارشی JavaScript مورد نظر خود را به بانک داده فرمولهای این نرمافزار اضافه کند. در ادامه، کاربر میتواند این فرمولهای مبتنی بر توابع را در فایل خود مورد استفاده قرار دهد که نمونهای از آن در تصویر زیر قابل مشاهده است.
نرمافزار Excel حاوی فرمولهای نسبتاً جامعی برای انجام عملیات مختلف در این برنامه صفحه گسترده معروف و پرطرفدار است. اما قابلیت جدید، انجام محاسبات خاص و فراخوانی اطلاعات از اینترنت را که تا پیش از این ممکن نبود فراهم میکند.
قابلیت مذکور در حال حاضر تنها برای کاربران عضو Office Insiders قابل دسترس است.
تنها چند ساعت پس از این اعلام شرکت مایکروسافت، گمانهزنیها در خصوص امکان بهرهجویی نویسندگان بدافزار و هکرها از این قابلیت آغاز شد. در مدتی کوتاه، یک محقق امنیتی نمونهای را ارائه کرد که در آن استخراجکننده رمزارز CoinHive با استفاده از یک تابع سفارشی JavaScript و بکارگیری امکان مذکور در Excel به اجرا در میآید.
هر چند که بر اساس تنظیمات معرفی شده، یک تابع JavaScript در Excel به صورت خودکار اجرا نمیشود و لازم است که کاربر ابتدا آن تابع را به صورت دستی در بخش افزونههای این نرمفزار معرفی کند اما پس از آن و در دفعات بعدی نیازی به انجام این امور نخواهد بود. بنابراین مهاجم قادر خواهد بود که با بکارگیری ترفندهای مهندسی اجتماعی بنحوی کاربر را متقاعد به معرفی تابع مخرب در نرمافزار کرده و پس از آن اهداف مورد نظر خود را در هر بار اجرای Excel دنبال کند.
دور از ذهن نیست که با فراگیر شدن آن، این قابلیت نیز همچون قابلیت ماکرو به یکی از ابزارهای متداول آلودهسازی دستگاهها به بدافزار تبدیل شود.
جزییات کامل در مورد قابلیت جدید در اینجا و نمونه ارائه شده در خصوص امکان بهرهجویی از آن در اینجا قابل دریافت و مطالعه است.
منبع : شبکه گستر
