Le problème réside dans l'outil Power Query, qui permet d'importer dans un tableur d'autres sources de données, comme une base de données ou une page web. Cela s'appelle un Dynamic Data Exchange (DDE). Une personne mal intentionnée peut donc lier à un fichier Excel un malware ou tout autre logiciel nuisible, qui est téléchargé et exécuté, dès que l'utilisateur ouvre le fichier.

La faille a été découverte par l'entreprise de cyber-sécurité Mimecast, qui en a informé aussi Microsoft. Microsoft y a réagi plutôt timidement. L'entreprise n'envisage en effet pas de résoudre le problème avec un patch, mais renvoie à un contournement pour éviter qu'Excel n'importe ou n'exporte ce genre de données externes. La solution de contournement suggérée par Microsoft date de 2017 déjà, lorsque ce type de faille s'était manifesté.

En bref, cela revient à dire que l'objectif est que les fichiers Excel puissent importer des données externes. Cette possibilité appartient donc aux fonctions par défaut d'Excel. L'entreprise indique cependant que les utilisateurs en sont toujours avertis. C'est ainsi qu'un agresseur, qui envoie un fichier Excel manipulé, doit aussi convaincre la victime potentielle de désactiver le mode de protection, sans compter l'apparition de divers avertissements, avant que le contenu soit chargé.

Tout comme pour la plupart des infections, il est recommandé ici de ne pas ouvrir de pièces jointes, dont on n'est pas certain du contenu.