資安業者Mimecast Threat Center近日指出,微軟Excel電子表格中的Power Query,可能遭到黑客開採而自遠程植入惡意軟件,不過,微軟並未將它當成安全漏洞,也不打算修補,而是提出了基於安全設定的解決辦法。Power Query爲一數據鏈路技術,可用來搜尋、連結、整合或調整不同的數據源以滿足使用者的分析需求,當連結這些來源時,數據即可被存入或動態加載,該功能同時出現在Excel與Power BI上。
Mimecast安全研究團隊負責人Ofir Shlomo指出,藉由Power Query,黑客可在某個來源中嵌入一個惡意內容,並在電子表格開啓時加載該內容,以用來植入或執行惡意軟件,屬於遠程動態數據交換(Dynamic Data Exchange,DDE)攻擊。Shlomo表示,Power Query具備豐富的控制能力,可在遞送任何酬載(payload)前辨識沙盒或受害者機器,有機會讓黑客取得潛在的預先加載或預先開採控制能力,在將惡意酬載傳送給受害者時,還能讓檔案看起來無害。
Mimecast並不確定這是Power Query功能或是安全漏洞,但在知會微軟之後,微軟並不打算修補,而是提供瞭解決方案,包括利用組策略(Group Policy)或是Office的信任中心(Office Trust center)來阻擋外部的檔案連結。不過,Shlomo依然認爲Power Query過於強大而帶來許多潛在的攻擊機會,像是本地端權限擴張、DDE攻擊或遠程程序執行等。Mimecast也展示如何以一個外部的服務器來代管惡意酬載,當Microsoft Excel 2016用戶以Power Query請求該網頁時,載入惡意內容。另一方面,過去微軟也曾提供有關Office應用程序中處理動態數據交換時的安全建議,Mimecast呼籲所有Excel用戶應導入相關的安全設定,以避免成爲網絡攻擊的受害者。內文來源:http://www.ai.org.tw/map.asp