Excel 曝Power Query安全漏洞

近日，Mimecast 威脅中心的安全研究人員，發現了微軟 Excel 電子表格應用程序的一個新漏洞，獲致 1.2 億用戶易受網絡攻擊。其指出，該安全漏洞意味着攻擊者能夠利用 Excel 的 Power Query 查詢工具，在電子表格上啓用遠程動態數據交換（DDE），並控制有效負載。此外，Power Query 還可以用於將惡意代碼嵌入數據源並進行傳播。

（圖自：Mimecast，via BetaNews）

Mimecast 表示，Power Query 提供了成熟而強大的功能，且可用於執行一般難以被檢測到的攻擊類型。

使人擔心的是，攻擊者只需引誘受害者打開一個電子表格，便可發起遠程 DDE 攻擊，而無需用戶執行任何進一步的操做或確認。

對於這項發現，Ofir Shlomo 在一篇博客文章中寫到：Power Query 是一款功能強大且可擴展的商業智能（BI）工具，用戶可將其與電子表格或其它數據源集成，好比外部數據庫、文本文檔、其它電子表格或網頁等。連接源時，能夠加載數據、並將之保存到電子表格中，或者動態地加載（好比打開文檔時）。

Mimecast 威脅中心團隊發現，Power Query 還可用於發起複雜的、難以檢測的攻擊，這些攻擊結合了多個方面。

藉助 Power Query，攻擊者能夠將惡意內容嵌入到單獨的數據源中，而後在打開時將內容加載到電子表格中，惡意代碼可用於刪除和執行可能危及用戶計算機的惡意軟件。

做爲協調漏洞披露（CVD）的一部分，Mimecast 與微軟合做，來鑑定操做是不是 Power Query 的預期行爲，以及相應的解決方案。

遺憾的是，微軟並無發佈針對 Power Query 的漏洞修復程序，而是提供一種解決方案來緩解此問題。