Động thái này là có thiện chí; . Nhưng JavaScript cũng tạo ra nhiều kết nối hơn và nhiều điểm truy cập hơn—có nghĩa là nhiều điểm dễ bị tổn thương hơn. Nó đã là một cơn ác mộng về bảo mật web. Và trên hết, những kẻ tấn công từ lâu đã thể hiện sự sẵn sàng khai thác các tính năng tùy chỉnh và tự động hóa trong Excel—và các chương trình Microsoft Office khác—để tạo các tệp độc hại nhằm lừa đảo và các cuộc tấn công khác. Sự phổ biến của các tệp Microsoft Office khiến chúng trở thành phương tiện hoàn hảo để lừa nạn nhân và tàn phá
Hợp lý hóa công cụ cho người dùng hợp pháp có thể làm cho nó hiệu quả hơn đối với những kẻ tấn công
Chase Dardaman, một nhà nghiên cứu phân tích phần mềm độc hại có trụ sở tại Texas cho biết: “JavaScript mở ra một phương thức tấn công khác cho các tài liệu độc hại và là một điều khác mà chúng ta với tư cách là những người bảo vệ sẽ phải đề phòng ngoài những gì Excel đã có thể làm”. "Mối quan tâm chính là do việc sử dụng JavaScript trong Excel còn quá mới nên chúng tôi không biết Microsoft sẽ kiểm soát nó như thế nào. Họ sẽ cần làm cho nó cởi mở hơn và dễ sử dụng hơn so với hiện tại, và điều đó có thể mở ra các hướng tấn công mới. "
JavaScript là một ngôn ngữ lập trình cực kỳ phổ biến và đã xuất hiện từ năm 1995. Nó thường được sử dụng để cung cấp năng lượng cho các tính năng phổ biến trên các trang web như mô-đun đa phương tiện và gửi biểu mẫu. Nhưng nếu các thành phần JavaScript không được chứa và bị giới hạn về những gì chúng có thể truy cập, thì kẻ tấn công có thể khai thác chúng để truy cập và thao túng hệ thống cũng như thực thi mã độc. Chỉ trong một ví dụ, tin tặc được biết là khai thác các triển khai JavaScript không an toàn để lấy tập lệnh chéo trang [XSS], cho phép kẻ tấn công chiếm quyền điều khiển trang web để lấy cắp dữ liệu hoặc cung cấp phần mềm độc hại cho khách truy cập vô tội. JavaScript cũng đã tồn tại quá lâu nên có rất nhiều mã prefab lỗi tồn tại trong các thư viện trên web và thường được tích hợp vào các trang web không đáng ngờ
Hiện tại, Microsoft mới chỉ phát hành chức năng Excel mở rộng cho các thành viên của chương trình "Người dùng nội bộ Office" nên vẫn còn thời gian để tinh chỉnh việc triển khai. Đặc biệt, những người quan sát cho biết họ hy vọng Microsoft sẽ tắt tính năng thực thi JavaScript theo mặc định, vì vậy Excel chỉ cho phép các hàm tùy chỉnh chạy sau khi nhắc cụ thể người dùng phê duyệt—hoặc từ chối—nó mỗi lần. Người phát ngôn của công ty cho biết trong một tuyên bố với WIRED rằng: "Chúng tôi rất coi trọng vấn đề bảo mật của khách hàng và theo thiết kế, chỉ logic đáng tin cậy mới có thể thực thi trong ngữ cảnh của một chức năng tùy chỉnh—với các biện pháp kiểm soát thích hợp đối với việc sử dụng cổng. ”
Khi công ty làm việc trên tính năng mới, các nhà phân tích đã khám phá những kẻ tấn công có thể làm gì với nó nếu và khi nó xuất hiện trên thị trường phổ thông. Trong vòng một ngày kể từ thông báo trong tuần này, Dardaman đã xuất bản một bằng chứng về khái niệm cho thấy chức năng mới có thể được lập trình như thế nào để chạy chương trình khai thác tiền điện tử CoinHive thông qua một tài liệu Excel. Dardaman thậm chí có thể thiết lập mọi thứ để quá trình khai thác lặng lẽ khởi chạy lại mỗi khi người dùng mở tệp Excel bị xâm nhập
'Tôi tin rằng tác hại lớn hơn nhiều so với lợi. '
Nhà nghiên cứu bảo mật Mitch Edwards
Rất may, việc phát hành trước JavaScript cho Excel khiến việc chia sẻ các tệp bị nhiễm độc trở nên khó khăn, nhưng các nhà nghiên cứu nói rằng khả năng bảo vệ phần lớn bắt nguồn từ JavaScript cho Excel vẫn đang trong giai đoạn thử nghiệm. Cuối cùng, Dardaman nghi ngờ rằng Microsoft sẽ tinh chỉnh tính năng này và làm cho nó dễ sử dụng hơn. Hợp lý hóa công cụ cho người dùng hợp pháp có thể làm cho nó hiệu quả hơn đối với những kẻ tấn công
Mitch Edwards, một nhà nghiên cứu và phân tích tình báo mối đe dọa cho biết: “Tôi hiểu những gì Microsoft đang làm với điều này, nhưng tôi tin rằng tác hại lớn hơn nhiều so với lợi ích”. "Khả năng truy cập đã được đặt trước bảo mật trong một thời gian dài. Chúng tôi trong cộng đồng bảo mật vẫn đang cố gắng nắm bắt các vectơ tấn công khác trong Office Suite và việc bổ sung chức năng JavaScript cho Excel sẽ thêm một công cụ khác vào vành đai của kẻ tấn công. "
Các nhà quan sát lưu ý rằng công cụ khai thác tiền điện tử không phải là thứ duy nhất kẻ tấn công có thể lập trình vào tệp Excel hỗ trợ JavaScript. Những kẻ lừa đảo và những kẻ tấn công có mục tiêu đang tìm cách giành quyền truy cập vào hệ thống hoặc phát tán phần mềm độc hại có thể dựa vào các tệp tải xuống có vẻ vô hại này làm điểm xuất phát để đạt được một số mục tiêu, từ đánh cắp dữ liệu đến giành quyền kiểm soát từ xa thiết bị của nạn nhân. Chỉ cần nhìn vào cách những kẻ tấn công đã khai thác tính năng tự động hóa Office "Macro" trong nhiều năm, xây dựng "phần mềm độc hại Macro" đặc biệt để phát tán trong các email spam và tệp ZIP
"Với tất cả những điều tồi tệ mà JavaScript có thể gây ra, tôi cho rằng Microsoft sẽ phải xử lý nó giống như cách họ xử lý Macro, tức là tắt nó theo mặc định," Crane Hassold, một nhà quản lý tình báo mối đe dọa cho biết. . Ông nói, nếu công ty không làm như vậy, thì tính năng này sẽ trở nên phổ biến với "không chỉ những kẻ lừa đảo, mà cả những kẻ đe dọa mạng nói chung. "