Excel被曝出含安全漏洞!但微软认为不是漏洞,不打算修补

发表于:2019-7-01 09:35

字体: | 上一篇 | 下一篇 | 我要投稿

 作者:IT情报局菊长    来源:今日头条

#
漏洞
#
Excel
分享:
  安全业者Mimecast Threat Center近日指出,微软Excel试算表中的Power Query,可能遭到黑客开采而自远端植入恶意程式,不过,微软并未将它当成安全漏洞,也不打算修补,而是提出了基于安全设定的解决办法。
  Power Query为一资料连结技术,可用来搜索、连结、整合或调整不同的资料来源以满足使用者的分析需求,当连结这些来源时,资料即可被存入或动态载入,该功能同时出现在Excel与Power BI上。
  Mimecast安全研究团队负责人Ofir Shlomo指出,藉由Power Query,黑客可在某个来源中嵌入一个恶意属性,并在试算表开启时载入该属性,以用来植入或执行恶意程式,属于远端动态资料交换(Dynamic Data Exchange,DDE)攻击。
 
  Shlomo表示,Power Query具备丰富的控制能力,可在递送任何酬载(payload)前辨识沙盒或受害者机器,有机会让黑客取得潜在的预先载入或预先开采控制能力,在将恶意酬载传送给受害者时,还能让档案看起来无害。
  Mimecast并不确定这是Power Query功能或是安全漏洞,但在知会微软之后,微软并不打算修补,而是提供了解决方案,包括利用群组原则(Group Policy)或是Office的信任中心(Office Trust center)来阻挡外部的档案连结。
  不过,Shlomo依然认为Power Query过于强大而带来许多潜在的攻击机会,像是本地端权限扩张、DDE攻击或远端程序执行等。Mimecast也展示如何以一个外部的服务器来代管恶意酬载,当Microsoft Excel 2016用户以Power Query请求该网页时,载入恶意属性。
  另一方面,过去微软也曾提供有关Office应用程式中处理动态资料交换时的安全建议,Mimecast呼吁所有Excel用户应导入相关的安全设定,以避免成为网络攻击的受害者。

      上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。
《2023软件测试行业现状调查报告》独家发布~

关注51Testing

联系我们

快捷面板 站点地图 联系我们 广告服务 关于我们 站长统计 发展历程

法律顾问:上海兰迪律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2024
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪ICP备05003035号

沪公网安备 31010102002173号