Ho trovato una bella vulnerabilità di macro-injection in una funzionalità di esportazione di Excel. Posso iniettare = 1 + 1 (o peggio) nel file Excel esportato.
Ma quando si apre il file in Excel, la formula non viene valutata direttamente all'avvio, ma viene mostrata come testo. Solo dopo che qualcuno fa doppio clic sulla cella e preme invio, la formula viene valutata e il contenuto della cella diventa 2 (oppure il calc ha inizio a seconda del carico utile).
Ho accesso solo alle versioni "più recenti" di Excel (2010 e 365). Le versioni di Excel che ho provato hanno attivato la valutazione automatica delle funzioni (quindi normalmente una funzione viene valutata direttamente). Le installazioni sono installazioni predefinite, non super sicure.
Penso che questa sia ancora una vulnerabilità che deve essere risolta, ma se funziona solo quando un utente fa qualcosa di stupido, il rischio sarebbe qualcosa di simile a Medium. Mentre se fosse eseguito direttamente all'apertura del file (con un pop-up o qualsiasi altra cosa) sarebbe una vulnerabilità critica che deve essere risolta al più presto.
La mia domanda è: è qualcosa che fanno tutte le versioni di Excel? (mostra la formula nel testo e non valuta automaticamente). O sarebbe ancora critico nelle versioni precedenti, ma le nuove versioni richiedono più input da parte dell'utente?
Domanda bonus: Qualcuno ora ha un payload che sovrascriverebbe questa funzionalità "non valutare all'avvio"?
EDIT: Ok dopo un commento di schroeder, capisco che questo potrebbe non essere interpretato come puramente di sicurezza. Concentriamoci su questa parte dell'exploit: come potrei sfruttare questa vulnerabilità in un exploit? Ci sono modi per indurre le persone a fare clic sulle celle e a valutare le funzioni?