A Microsoft legfrissebb biztonsági frissítései között egy különösen érdekes sebezhetőség is szerepel, amely megmutatja, hogyan adhat új lehetőségeket a mesterséges intelligencia a régi típusú támadásoknak. A most javított hiba az Excelben található, és a szakértők szerint akár arra is használható volt, hogy a támadók adatokat szivárogtassanak ki a felhasználók gépéről – ráadásul anélkül, hogy az áldozat ténylegesen megnyitotta volna a fájlt.
A sebezhetőség a Microsoft márciusi „Patch Tuesday” frissítési csomagjában került javításra. Összesen 83 hibát foltozott be a vállalat, köztük nyolc kritikus besorolásút, de az egyik legérdekesebb mégis az Excelhez kapcsolódó probléma volt. A hibát CVE-2026-26144 azonosítóval tartják nyilván, és a biztonsági értékelése 7,5 pont lett a tízes skálán, ami magas kockázatot jelent.
A probléma alapja egy klasszikus webes biztonsági hiba, az úgynevezett cross-site scripting (XSS), amelyet a támadók egy új módszerrel kombináltak. A trükk lényege az volt, hogy az Excel nem megfelelően kezelte a fájlokba beágyazott bizonyos bemeneteket, így egy speciálisan elkészített dokumentum képes lehetett kódot futtatni még akkor is, ha a felhasználó csak az előnézeti panelen nézte meg a fájlt.
Ez már önmagában is problémás lenne, a történet azonban itt válik igazán érdekessé.
Az újabb Excel-verziókban ugyanis már megtalálható a Microsoft generatív mesterséges intelligenciára épülő asszisztense, a Copilot. A kutatók szerint a támadók képesek lehettek arra, hogy a dokumentumba rejtett kóddal olyan utasításokat adjanak a Copilotnak, amelyek érzékeny adatokat küldenek ki egy külső szerverre.
Más szóval a támadás során a mesterséges intelligencia válhatott a támadás eszközévé.
A módszer különösen veszélyes, mert egy úgynevezett zero-click támadásról van szó. Ez azt jelenti, hogy a felhasználónak nem kell rákattintania egy linkre vagy futtatnia egy fájlt. Elég lehet az is, ha az Excel megjeleníti a dokumentum előnézetét.
A szakértők szerint ez jól mutatja, hogyan kaphatnak új lendületet a régi sérülékenységek az AI-alapú rendszerek megjelenésével. Egy olyan hiba, amely korábban legfeljebb korlátozott veszélyt jelentett, mesterséges intelligenciával kombinálva sokkal komolyabb következményekhez vezethet.
A Microsoft természetesen már javította a problémát, és a legfontosabb lépés most az, hogy a felhasználók telepítsék a legfrissebb biztonsági frissítéseket. A vállalat szerint ezzel megszüntethető a sebezhetőség.
Azoknak a szervezeteknek, amelyek valamilyen okból nem tudják azonnal telepíteni a frissítést, ideiglenes megoldásként érdemes korlátozni az Office alkalmazások hálózati forgalmát, illetve figyelni az Excel által indított hálózati kapcsolatokat. A szakértők szerint az is segíthet, ha ideiglenesen kikapcsolják a Copilot agent funkcióit.
Bár a most javított hiba kapta a legtöbb figyelmet, a márciusi frissítési csomag ennél jóval több problémát old meg. A Microsoft összesen 83 különböző biztonsági hibát javított, ami jól mutatja, milyen folyamatos verseny zajlik a szoftvergyártók és a kiberbűnözők között.
Az Excel-eset pedig egy újabb figyelmeztetés arra, hogy a mesterséges intelligencia integrálása a mindennapi szoftverekbe nemcsak új lehetőségeket, hanem új támadási felületeket is hozhat.
