Poco después de que Microsoft anunciara soporte para funciones de JavaScript personalizadas en Excel, alguien demostró lo que podría salir mal si se abusa de esta característica con fines maliciosos.
Como se prometió el año pasado en la conferencia Ignite 2017 de Microsoft, la compañía ahora ha llevado funciones de JavaScript personalizadas a Excel para ampliar sus capacidades para un mejor trabajo con los datos.
Las funciones están programadas en JavaScript para hojas de cálculo de Excel que se ejecutan actualmente en varias plataformas, incluidas Windows, macOS y Excel Online, lo que permite a los desarrolladores crear sus propias y poderosas fórmulas.
Se había visto venir
El investigador de seguridad Charles Dardaman aprovechó esta función para mostrar lo fácil que es incorporar el infame script de minería de criptomonedas en el navegador de CoinHive dentro de una hoja de cálculo de MS Excel y ejecutarlo en segundo plano cuando se abre.
«Para ejecutar Coinhive en Excel, seguí la documentación oficial de Microsoft y acabo de agregar mi propia función», dijo Dardaman.
Aquí hay una documentación oficial de Microsoft para aprender a ejecutar funciones de JavaScript personalizadas en Excel.
Pero… JavaScript para Excel presenta menos amenazas?
Sin embargo, debe tenerse en cuenta que los complementos de Excel, las API que son responsables de ejecutar las funciones personalizadas de JavaScript, no se ejecutan por defecto inmediatamente después de abrir la hoja de cálculo incrustada con JS.
En cambio, los usuarios necesitan cargar y ejecutar funciones de JavaScript de forma manual a través de la función de complemento de Excel por primera vez, y luego se ejecutarán automáticamente cada vez que se abra el archivo de Excel en el mismo sistema.
Además, cuando intenta ejecutar explicitamente una función de JavaScript en Excel que se conecta a un servidor externo, Microsoft solicita al usuario que permita o niegue la conexión, evitando que se ejecute código no autorizado.
Por lo tanto, JavaScript para Excel no representa una gran amenaza en la actualidad, a menos y hasta que alguien encuentre la manera de ejecutarlo automáticamente sin requerir ninguna interacción del usuario.
Además de esto, Microsoft también ha confirmado que los complementos de Excel actualmente se usan en un proceso de navegador oculto para ejecutar funciones personalizadas asíncronas, pero en el futuro, se ejecutará directamente en algunas plataformas para guardar memoria.
Por ahora, las funciones personalizadas de JavaScript para Excel están disponibles en la edición Developer Preview para Windows, Mac, iPads y Excel Online solo para suscriptores de Office 365 inscritos en el programa MS Office Insiders.
Microsoft pronto extenderá esta característica a un público más amplio.
