前言
就在微软宣布在Excel中引入自定义JavaScript函数之后,一位安全研究人员开发出一种使用新方法,可以在Excel中加载CoinHive浏览器内JavaScript代码。
当微软宣布新的自定义JS函数时,没有人会认为它会被用于恶意操作。
然而几小时后,安全研究人员就想出了一种使用微软新功能,通过自定义JavaScript Excel函数加载CoinHive浏览器的方法。
(大神的打脸总是这么自然、响亮)
潜在威胁
需要注意的是,目前这只是一个概念验证,如果在Excel中使用自定义函数,首先需要将其作为加载项加载到Excel中。
所以在目前,这还不是一个可行的攻击选项。不过对于狡猾的攻击者而言,当他们投入精力去利用这种功能时,在某一天得到使用这种功能的自动化方法并不奇怪。
加载CoinHive
自定义JavaScript函数创建三个文件,并将其存储在可访问的Web服务器上。这些文件是一个JS文件,其中包含自定义公式,加载JavaScript文件的html文件以及充当配置文件的JSON文件。
我们还需要创建一个XML文件,该文件作为清单,并由Excel在本地使用,将我们的自定义函数作为加载项加载。
当使用自定义JS公式时,Excel将创建一个隐藏的浏览器来加载各种文件,然后执行自定义JavaScript函数。在做到这一点之后,就可以很容易制作出自己的加载项,将CoinHive加载到这个隐藏的浏览器中。
研究人员表示,创建插件只花费了很少的时间,而且他从来没有添加任何内容或者写过一个excel宏,只花了大约一个小时得到它,然后预览下载。
糟糕的是,研究人员表示:
“它(插件)仍然存在,所以如果我添加该功能并保存excel表格,当重新打开时,将自动运行该功能。”
在Excel中测试矿工时,研究人员将其设置为使用50的阈值,这表明CoinHive利用计算机CPU功率的50%。
如下图所示,我们看到Microsoft Excel Web Content是使用CoinHive加载的隐藏浏览器,利用计算机的4个CPU的206%。CPU利用率
总结
由于创建自定义JavaScript函数很快且容易,因此在开发新攻击只是时间问题。
研究人员直言:
“确切地说,这(开发新攻击)非常简单,当我和其他人深入挖掘这一点时,我确信我们将找到大量新方法来攻击用户”。
请善待你身边的每一个吃货* 本文由行长叠报编译,转载请申请授权并注明出处。
更多黑客新闻,最新技术,黑客故事,请关注:行长叠报
转载请在文首注明:本文经行长叠报(ID:BUG_BANK)授权转载,如需转载请联系微信id:nbJking