微軟Excel曝出Power？

近日，Mimecast 威脅中心的安全研究人員，發現了微軟 Excel 電子表格應用程序的一個新漏洞，獲致 1.2 億用戶易受網絡攻擊。

其指出，該安全漏洞意味著攻擊者可以利用 Excel 的 Power Query 查詢工具，在電子表格上啟用遠程動態數據交換（DDE），并控制有效負載。

此外，Power Query 還能夠用于將惡意代碼嵌入數據源并進行傳播。

（圖自：Mimecast，via BetaNews）

Mimecast 表示，Power Query 提供了成熟而強大的功能，且可用于執行通常難以被檢測到的攻擊類型。

令人擔憂的是，攻擊者只需引誘受害者打開一個電子表格，即可發起遠程 DDE 攻擊，而無需用戶執行任何進一步的操作或確認。

對于這項發現，Ofir Shlomo 在一篇博客文章中寫到：

Power Query 是一款功能強大且可擴展的商業智能（BI）工具，用戶可將其與電子表格或其它數據源集成，比如外部數據庫、文本文檔、其它電子表格或網頁等。

鏈接源時，可以加載數據、并將之保存到電子表格中，或者動態地加載（比如打開文檔時）。

Mimecast 威脅中心團隊發現，Power Query 還可用于發起復雜的、難以檢測的攻擊，這些攻擊結合了多個方面。

借助 Power Query，攻擊者可以將惡意內容嵌入到單獨的數據源中，然后在打開時將內容加載到電子表格中，惡意代碼可用于刪除和執行可能危及用戶計算機的惡意軟件。

Power Query 提供了如何豐富的控件選項，即便在發送任何有效的負載之前，它也能夠用于采集受害者機器或沙箱指紋。

攻擊者具有潛在的預有效負載和預開發控制，在向受害者傳播惡意負載同時，還能夠欺騙文件沙箱或其它安全解決方案，誤認為其是無害的。

作為協調漏洞披露（CVD）的一部分，Mimecast 與微軟合作，來鑒定操作是否是 Power Query 的預期行為，以及相應的解決方案。

遺憾的是，微軟并沒有發布針對 Power Query 的漏洞修復程序，而是提供一種解決方案來緩解此問題。