Bug critic în Microsoft Excel: cum poate fi folosit Copilot într-un atac zero-click care expune date sensibile
' fill='%23FBBC05' d='M0 37V11l17 13z'/%3e%3cpath clip-path='url(%23b)' fill='%23EA4335' d='M0 11l17 13 7-6.1L48 14V0H0z'/%3e%3cpath clip-path='url(%23b)' fill='%2334A853' d='M0 37l30-23 7.9 1L48 0v48H0z'/%3e%3cpath clip-path='url(%23b)' fill='%234285F4' d='M48 48L17 24l-4-3 35-10z'/%3e%3c/svg%3e){kind=small}
:format(webp)/https://playtech.ro/wp-content/uploads/2025/03/microsoft-excel.jpg)
Microsoft a avut în martie o rundă de patch-uri mult mai liniștită decât luna anterioară, dar asta nu înseamnă că au lipsit vulnerabilitățile cu adevărat îngrijorătoare. Dintre zecile de probleme remediate în Patch Tuesday, una a atras imediat atenția cercetătorilor de securitate pentru că deschide un scenariu nou, foarte relevant pentru epoca AI: un bug critic în Excel care poate transforma Copilot Agent într-un mecanism de exfiltrare a datelor, fără clic din partea utilizatorului. Microsoft a catalogat problema drept CVE-2026-26144, o vulnerabilitate de tip information disclosure în Excel, iar mai multe analize tehnice au subliniat că este unul dintre cele mai interesante și neliniștitoare cazuri din această lună.
Pe scurt, defectul permite ca un fișier Excel malițios să exploateze o problemă de cross-site scripting pentru a determina Copilot Agent mode să trimită date prin conexiuni de rețea neintenționate. În termeni practici, asta înseamnă scurgere de informații fără interacțiune din partea victimei, într-un atac de tip zero-click. Microsoft și analiștii citați de presa de specialitate spun că exploitarea necesită acces la rețea, dar nu cere privilegii suplimentare și nici acțiuni din partea utilizatorului, ceea ce face scenariul deosebit de sensibil mai ales în mediile corporate, unde fișierele Excel conțin frecvent date financiare, documente operaționale, forecasturi, contracte sau alte informații cu valoare mare.
Faptul că o vulnerabilitate de tip information disclosure a primit calificativ critic este, în sine, neobișnuit. De regulă, atenția maximă merge către defecte de remote code execution sau privilege escalation. În acest caz însă, riscul este amplificat de legătura cu un agent AI care poate deveni canal de ieșire pentru date sensibile. Zero Day Initiative a descris explicit acest scenariu ca fiind unul pe care îl vom vedea probabil tot mai des: vulnerabilități aparent clasice, reinterpretate prin prisma modului în care aplicațiile moderne folosesc asistenți și agenți AI.
De ce vulnerabilitatea din Excel este atât de periculoasă pentru companii
Elementul cel mai important în acest caz nu este doar bugul din Excel, ci contextul în care apare. În multe organizații, Excel nu mai este doar un simplu instrument de calcul tabelar. Este un depozitar de date critice: bugete, previziuni, analize comerciale, liste de clienți, rapoarte interne, structuri de cost, fișiere HR și uneori chiar documente exportate din alte sisteme. Când o vulnerabilitate poate scoate astfel de informații printr-un canal neașteptat, fără să ceară clic din partea utilizatorului, impactul potențial devine mult mai mare decât pare la prima vedere.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1748332487/689bd51355a24178031133f9253c43f4-t.jpg)
Mai multe analize publicate după Patch Tuesday au explicat că CVE-2026-26144 este legată de neutralizarea incorectă a inputului în timpul generării de pagini web, adică o problemă de tip XSS. În mod normal, un astfel de defect este asociat mai degrabă cu aplicații web și browsere. Tocmai de aceea cazul este atât de interesant: el arată cum o vulnerabilitate dintr-o suită Office poate căpăta o dimensiune nouă atunci când în ecuație există un agent AI capabil să proceseze și să interacționeze cu datele într-un mod mai activ decât software-ul tradițional. Microsoft a avertizat explicit că această problemă poate duce la exfiltrare de date prin network egress neintenționat în Copilot Agent mode.
Pentru companii, mesajul este direct: dacă ai Excel și Copilot într-un ecosistem de business, nu mai tratezi bugurile doar prin lentila clasică a documentului malițios. Trebuie să te gândești și la felul în care instrumentele AI pot amplifica consecințele. Alex Vovk, CEO al Action1, a subliniat că vulnerabilitățile de information disclosure sunt deosebit de periculoase în mediile corporate tocmai pentru că fișierele Excel includ adesea proprietate intelectuală, date personale și informații financiare. Într-un astfel de scenariu, atacatorii ar putea extrage în tăcere informații confidențiale din sisteme interne fără semnale evidente pentru utilizatori.
Tot din această perspectivă devine important faptul că exploitarea nu necesita escaladare de privilegii. Dacă scurgerea se produce la nivelul utilizatorului logat, asta poate fi suficient pentru a compromite volume mari de informații valoroase. În multe organizații, accesul utilizatorului obișnuit este deja semnificativ. Nu trebuie să fii administrator de sistem pentru a avea la îndemână date sensibile. Iar când vorbim despre zero-click, șansa ca victima să observe și să oprească atacul la timp scade drastic.
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Microsoft-Copilot-316x158.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/05/microsoft-316x158.jpg)
Ce mai conține Patch Tuesday și de ce experții cer patch rapid
Luna martie a adus, potrivit mai multor analize, 83 de CVE-uri remediate de Microsoft, dintre care opt au fost evaluate drept critice. Două erau deja cunoscute public la momentul lansării patch-urilor, dar Microsoft nu a indicat exploatare activă pentru niciuna dintre ele. În același pachet au apărut și alte vulnerabilități importante în Office, inclusiv două defecte de remote code execution care pot fi declanșate prin Preview Pane, ceea ce înseamnă că uneori nici măcar nu este nevoie ca utilizatorul să deschidă complet fișierul malițios pentru ca atacul să pornească.
Cele două defecte Office menționate frecvent de cercetători sunt CVE-2026-26110 și CVE-2026-26113. Primul este o problemă de type confusion, iar al doilea ține de dereferențierea unui pointer nesigur. Ambele pot permite execuție de cod la nivel local prin intermediul unui atac de la distanță. Specialiștii au avertizat că astfel de scenarii care implică Preview Pane au devenit tot mai frecvente în ultimul an și că este probabil doar o chestiune de timp până când vor apărea în exploatări active mai vizibile.
Cu toate acestea, CVE-2026-26144 rămâne problema care a atras cel mai mult atenția deoarece marchează o schimbare de paradigmă. Nu mai discutăm doar despre documente capcană care instalează malware sau execută cod, ci despre fișiere care pot folosi integrarea AI pentru a scoate date din organizație. În practică, asta obligă echipele de securitate să gândească patch management-ul împreună cu politicile de folosire a Copilot și cu regulile de trafic outbound din aplicațiile Office.
Recomandările formulate de experți sunt destul de clare. Patch-ul pentru Excel ar trebui aplicat rapid, iar acolo unde organizația nu poate implementa imediat actualizarea, merită limitat traficul outbound din aplicațiile Office, monitorizate cererile de rețea neobișnuite generate de procese Excel și restricționat sau dezactivat Copilot Agent până la aplicarea fixului. Aceste măsuri nu înlocuiesc patch-ul, dar pot reduce temporar suprafața de atac.
Mai există o lecție importantă aici. Odată cu integrarea AI în aplicații de productivitate, securitatea nu mai poate fi separată de modul în care aceste funcții sunt folosite efectiv în business. Un bug care altădată ar fi însemnat „doar” o problemă de randare sau de scripting poate deveni, în combinație cu un agent AI, un instrument de exfiltrare tăcută. Exact de aceea, vulnerabilitatea din Excel este mai mult decât un simplu CVE critic: este un avertisment despre cum se schimbă suprafața de atac în epoca Copilot.
Pentru administratori și echipele de securitate, concluzia este simplă. Martie poate că nu a fost luna cea mai zgomotoasă pentru Patch Tuesday, dar acest defect din Excel este suficient de serios încât să merite prioritate. În special în organizațiile care au deja fluxuri de lucru construite în jurul Microsoft 365 și Copilot, orice întârziere în aplicarea corecției lasă loc unui tip de risc care va deveni probabil tot mai comun: AI-ul nu mai este doar un instrument de productivitate, ci și o componentă care poate fi abuzată în atacuri reale.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1667480684/3cf7631a31c0d72b829992dbfea6d995-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1737978465/755ce3083980e452e31e9a102d2248b6-o.png)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1737972417/63b71abf1a4654669b759336046d4634-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1646818613/642af41f1978ad6c1363e94ec649a4eb-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1683783849/b08ac760b3a1b6f42bea047812d54874-o.png)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/04/1610191967/3e1e9c8604d18a7adf9a19a95f891678-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1778138107/259392863cedaead81e64870a220f0cc-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1778137329/e8f7841586095421983a76d04380bddb-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/profimedia-1111681292-scaled.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Orange-1.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/profimedia-0852735946.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/profimedia-1052521196.jpg)