Iniezione macro in diverse versioni di Excel

2

Ho trovato una bella vulnerabilità di macro-injection in una funzionalità di esportazione di Excel. Posso iniettare = 1 + 1 (o peggio) nel file Excel esportato.

Ma quando si apre il file in Excel, la formula non viene valutata direttamente all'avvio, ma viene mostrata come testo. Solo dopo che qualcuno fa doppio clic sulla cella e preme invio, la formula viene valutata e il contenuto della cella diventa 2 (oppure il calc ha inizio a seconda del carico utile).

Ho accesso solo alle versioni "più recenti" di Excel (2010 e 365). Le versioni di Excel che ho provato hanno attivato la valutazione automatica delle funzioni (quindi normalmente una funzione viene valutata direttamente). Le installazioni sono installazioni predefinite, non super sicure.

Penso che questa sia ancora una vulnerabilità che deve essere risolta, ma se funziona solo quando un utente fa qualcosa di stupido, il rischio sarebbe qualcosa di simile a Medium. Mentre se fosse eseguito direttamente all'apertura del file (con un pop-up o qualsiasi altra cosa) sarebbe una vulnerabilità critica che deve essere risolta al più presto.

La mia domanda è: è qualcosa che fanno tutte le versioni di Excel? (mostra la formula nel testo e non valuta automaticamente). O sarebbe ancora critico nelle versioni precedenti, ma le nuove versioni richiedono più input da parte dell'utente?

Domanda bonus: Qualcuno ora ha un payload che sovrascriverebbe questa funzionalità "non valutare all'avvio"?

EDIT: Ok dopo un commento di schroeder, capisco che questo potrebbe non essere interpretato come puramente di sicurezza. Concentriamoci su questa parte dell'exploit: come potrei sfruttare questa vulnerabilità in un exploit? Ci sono modi per indurre le persone a fare clic sulle celle e a valutare le funzioni?

    
posta Wealot 27.03.2017 - 13:05
fonte

1 risposta

2

Riferisci in modo responsabile i tuoi risultati all'autore del programma e eseguiranno test di regressione su tutte le versioni supportate. Non è tua responsabilità fare il test per loro.

Sfortunatamente, non penso che il programma Bug Bounty di Microsoft si estenda ai loro prodotti Office. Ma non si sa mai; se riesci a produrre un exploit di esempio, potrebbe diventare un problema di sicurezza per cui sono disposti a pagare.

    
risposta data 27.03.2017 - 16:09
fonte

Leggi altre domande sui tag