Quali sono i rischi per la sicurezza dell'importazione e dell'elaborazione di un foglio di calcolo Excel da un utente non affidabile

Sebbene Austin sia corretto, è anche un rischio che il file stesso contenga un exploit. Le applicazioni per ufficio sono assolutamente massive e hanno una superficie di attacco davvero enorme. Se hai tempo a disposizione, apri un fuzzer strumentato come American Fuzzy Lop (AFL) ed eseguilo sul tuo processore Excel. Troverai una quantità impressionante di arresti anomali dall'aspetto spaventoso.

Devi valutare il tuo rischio qui. Se ti stai difendendo da qualcuno che ha solo le capacità per scrivere una macro dannosa, probabilmente non hai molto di cui preoccuparti. Se ti stai difendendo da qualcuno che conosce una cosa o due sullo sfruttamento del software e sei il loro obiettivo, aprire i loro fogli di calcolo sarà un sogno che si avvera.

Penso che il rischio maggiore che posso pensare è se quel foglio di calcolo contiene una macro dannosa.

I macro in Office sono stati sfruttabili a lungo, e recentemente Locky e alcuni altri cryptolocker hanno iniziato a infettare gli utenti con macro in Word. Non vedo alcun motivo per cui la macro non funzionerebbe in altri programmi di Office.

link

A, ad esempio, di cosa fare attenzione è illustrato da una patch rilasciata per Magento, SUPEE-5994 che trattava il seguente problema dal contenuto inserito dall'utente, esportato:

Attacker can provide input that executes a formula when exported and opened in a spreadsheet such as Microsoft Excel. The formula can modify data, export personal data to another site, or cause remote code execution. The spreadsheet usually displays a warning message, which the user must dismiss for the attack to succeed.

Pertanto, si applicano i normali avvertimenti, i contenuti arbitrari accettati dal Web senza un'adeguata mitigazione possono portare sorprese interessanti se aperti in un programma di fogli di calcolo per il quale il contenuto dannoso è adattato.