近日,Mimecast 威脅中心的安全研究人員,發現了微軟 Excel 電子表格應用程序的一個新漏洞,獲致 1.2 億用戶易受網絡攻擊。其指出,該安全漏洞意味着攻擊者可以利用 Excel 的 Power Query 查詢工具,在電子表格上啓用遠程動態數據交換(DDE),並控制有效負載。此外,Power Query 還能夠用於將惡意代碼嵌入數據源並進行傳播。
(圖自:Mimecast,via BetaNews)
Mimecast 表示,Power Query 提供了成熟而強大的功能,且可用於執行通常難以被檢測到的攻擊類型。
令人擔憂的是,攻擊者只需引誘受害者打開一個電子表格,即可發起遠程 DDE 攻擊,而無需用戶執行任何進一步的操作或確認。
對於這項發現,Ofir Shlomo 在一篇博客文章中寫到:Power Query 是一款功能強大且可擴展的商業智能(BI)工具,用戶可將其與電子表格或其它數據源集成,比如外部數據庫、文本文檔、其它電子表格或網頁等。鏈接源時,可以加載數據、並將之保存到電子表格中,或者動態地加載(比如打開文檔時)。
Mimecast 威脅中心團隊發現,Power Query 還可用於發起複雜的、難以檢測的攻擊,這些攻擊結合了多個方面。
藉助 Power Query,攻擊者可以將惡意內容嵌入到單獨的數據源中,然後在打開時將內容加載到電子表格中,惡意代碼可用於刪除和執行可能危及用戶計算機的惡意軟件。
作爲協調漏洞披露(CVD)的一部分,Mimecast 與微軟合作,來鑑定操作是否是 Power Query 的預期行爲,以及相應的解決方案。
遺憾的是,微軟並沒有發佈針對 Power Query 的漏洞修復程序,而是提供一種解決方案來緩解此問題。