O vulnerabilitate critică în Excel ridică semne de întrebare despre securitatea datelor în era AI
O breșă de securitate de tip information disclosure în Microsoft Excel a fost catalogată drept critică, un calificativ neobișnuit pentru acest tip de vulnerabilitate. Semnificația acestui defect este amplificată de integrarea cu agenții de inteligență artificială (AI), care pot deveni o poartă de acces pentru date sensibile. Experții avertizează că, în contextul utilizării pe scară largă a instrumentelor AI, astfel de vulnerabilități pot avea consecințe mult mai grave decât în trecut.
Excel, depozitarul de date sensibile
Vulnerabilitatea, identificată ca CVE-2026-26144, este legată de modul în care Excel gestionează datele în timpul generării paginilor web, o problemă cunoscută sub numele de cross-site scripting (XSS). Impactul real al acestei vulnerabilități constă în contextul în care apare. În multe companii, Excel nu este doar un instrument pentru calcule, ci și un depozit de date critice: bugete, analize de piață, liste de clienți, rapoarte interne și documente HR. „Când o vulnerabilitate poate scoate astfel de informații printr-un canal neașteptat, fără să ceară clic din partea utilizatorului, impactul potențial devine mult mai mare decât pare la prima vedere”, explică specialiștii.
Microsoft a avertizat că această vulnerabilitate poate duce la „exfiltrare de date prin network egress neintenționat în Copilot Agent mode”. Alex Vovk, CEO al Action1, subliniază că astfel de vulnerabilități sunt deosebit de periculoase în mediile corporative, deoarece fișierele Excel conțin adesea proprietate intelectuală și date personale. „Într-un astfel de scenariu, atacatorii ar putea extrage în tăcere informații confidențiale din sisteme interne fără semnale evidente pentru utilizatori”. Exploitarea acestei vulnerabilități nu necesită privilegii sporite, ceea ce facilitează compromiterea datelor.
Recomandări și măsuri de prevenție
Luna martie a adus, în total, 83 de vulnerabilități remediate de Microsoft, dintre care opt au fost evaluate ca fiind critice. Pe lângă CVE-2026-26144, au fost identificate și alte vulnerabilități importante în Office, inclusiv defecte de execuție de cod de la distanță care pot fi declanșate prin utilizarea Preview Pane. Specialiștii subliniază că aceste scenarii au devenit mai frecvente în ultimul an.
Experții recomandă instalarea rapidă a patch-ului pentru Excel. În cazul în care actualizarea nu poate fi implementată imediat, se recomandă limitarea traficului outbound din aplicațiile Office, monitorizarea cererilor de rețea neobișnuite generate de procesele Excel și restricționarea sau dezactivarea Copilot Agent până la aplicarea corecției. Aceste măsuri pot reduce temporar riscul. Integrarea AI în aplicațiile de productivitate impune o abordare diferită a securității. „Un bug care altădată ar fi însemnat ‘doar’ o problemă de randare sau de scripting poate deveni, în combinație cu un agent AI, un instrument de exfiltrare tăcută”, atrag atenția experții.
În urma acestor descoperiri, Microsoft a lansat actualizări de securitate pentru a remedia vulnerabilitățile, îndemnând utilizatorii să instaleze patch-urile cât mai curând posibil.
Sursa: Playtech.ro
