信息來源:hackernews
近日,Mimecast 威脅中心的安全研究人員,發(fā)現(xiàn)了微軟 Excel 電子表格應(yīng)用程序的一個(gè)新漏洞,獲致 1.2 億用戶易受網(wǎng)絡(luò)攻擊。其指出,該安全漏洞意味著攻擊者可以利用 Excel 的 Power Query 查詢工具,在電子表格上啟用遠(yuǎn)程動(dòng)態(tài)數(shù)據(jù)交換(DDE),并控制有效負(fù)載。此外,Power Query 還能夠用于將惡意代碼嵌入數(shù)據(jù)源并進(jìn)行傳播。
(圖自:Mimecast,via BetaNews)
Mimecast 表示,Power Query 提供了成熟而強(qiáng)大的功能,且可用于執(zhí)行通常難以被檢測(cè)到的攻擊類型。
令人擔(dān)憂的是,攻擊者只需引誘受害者打開一個(gè)電子表格,即可發(fā)起遠(yuǎn)程 DDE 攻擊,而無需用戶執(zhí)行任何進(jìn)一步的操作或確認(rèn)。
對(duì)于這項(xiàng)發(fā)現(xiàn),Ofir Shlomo 在一篇博客文章中寫到:
Power Query 是一款功能強(qiáng)大且可擴(kuò)展的商業(yè)智能(BI)工具,用戶可將其與電子表格或其它數(shù)據(jù)源集成,比如外部數(shù)據(jù)庫、文本文檔、其它電子表格或網(wǎng)頁等。
鏈接源時(shí),可以加載數(shù)據(jù)、并將之保存到電子表格中,或者動(dòng)態(tài)地加載(比如打開文檔時(shí))。
Mimecast 威脅中心團(tuán)隊(duì)發(fā)現(xiàn),Power Query 還可用于發(fā)起復(fù)雜的、難以檢測(cè)的攻擊,這些攻擊結(jié)合了多個(gè)方面。
借助 Power Query,攻擊者可以將惡意內(nèi)容嵌入到單獨(dú)的數(shù)據(jù)源中,然后在打開時(shí)將內(nèi)容加載到電子表格中,惡意代碼可用于刪除和執(zhí)行可能危及用戶計(jì)算機(jī)的惡意軟件。
Power Query 提供了如何豐富的控件選項(xiàng),即便在發(fā)送任何有效的負(fù)載之前,它也能夠用于采集受害者機(jī)器或沙箱指紋。
攻擊者具有潛在的預(yù)有效負(fù)載和預(yù)開發(fā)控制,在向受害者傳播惡意負(fù)載同時(shí),還能夠欺騙文件沙箱或其它安全解決方案,誤認(rèn)為其是無害的。
作為協(xié)調(diào)漏洞披露(CVD)的一部分,Mimecast 與微軟合作,來鑒定操作是否是 Power Query 的預(yù)期行為,以及相應(yīng)的解決方案。
遺憾的是,微軟并沒有發(fā)布針對(duì) Power Query 的漏洞修復(fù)程序,而是提供一種解決方案來緩解此問題。