Hace poco que Microsoft Anunció el soporte personalizado de JavaScript para realizar funciones en Excel, pero como era de pensar, a alguien ya se le ocurrió que esto podría servir para ejecutar funciones maliciosas dentro de Excel.
Esta nueva característica de Excel permitirá a los usuarios darles nuevas funciones y potenciar las plantillas o formularios de Excel. Esta característica esta disponible en las versiones de Windows, MacOS y 365, en las versiones develop o para quienes estén dentro del programa Microsoft Insiders
I cannot wait for the first cryptocurrency miner in Excel— Chase Dardaman (@CharlesDardaman) 8 de mayo de 2018
El investigador de seguridad Charles Dardaman demostró que gracias al soporte de javascript en Excel, se podría ejecutar funciones de criptominado dentro de la plantilla (que es mediante javascript) y su implementación seria sumamente sencilla.
Ejecución de JS
Sin embargo a lo comentado por el Investigador de Seguridad, la ejecución de javascript dentro de los documentos excel no seria de manera automática, ya que este consulta directamente al usuario si se autoriza la conexión o no. Lo que si puede ser un riesgo que cuando un usuario autoriza una conexión de manera manual dentro de Excel esta conexión pasará a ser automática las próximas veces.
Además de esto, Microsoft también ha confirmado que los complementos de Excel actualmente dependen de un proceso de navegador oculto para ejecutar funciones personalizadas asíncronas, pero en el futuro, ejecutará JavaScript directamente en algunas plataformas para ahorrar memoria.