返回目录:excel表格制作
安全业者Mimecast Threat Center近日指出,微软Excel试算表中的Power Query,可能遭到黑客开采而自远端植入恶意程式,不过,微软并未将它当成安全漏洞,也不打算修补,而是提出了基于安全设定的解决办法。
Power Query为一资料连结技术,可用来搜索、连结、整合或调整不同的资料来源以满足使用者的分析需求,当连结这些来源时,资料即可被存入或动态载入,该功能同时出现在Excel与Power BI上。
Mimecast安全研究团队负责人Ofir Shlomo指出,藉由Power Query,黑客可在某个来源中嵌入一个恶意属性,并在试算表开启时载入该属性,以用来植入或执行恶意程式,属于远端动态资料交换(Dynamic Data Exchange,DDE)攻击。
Shlomo表示,Power Query具备丰富的控制能力,可在递送任何酬载(payload)前辨识沙盒或受害者机器,有机会让黑客取得潜在的预先载入或预先开采控制能力,在将恶意酬载传送给受害者时,还能让档案看起来无害。
Mimecast并不确定这是Power Query功能或是安全漏洞,但在知会微软之后,微软并不打算修补,而是提供了解决方案,包括利用群组原则(Group Policy)或是Office的信任中心(Office Trust center)来阻挡外部的档案连结。
不过,Shlomo依然认为Power Query过于强大而带来许多潜在的攻击机会,像是本地端权限扩张、DDE攻击或远端程序执行等。Mimecast也展示如何以一个外部的服务器来代管恶意酬载,当Microsoft Excel 2016用户以Power Query请求该网页时,载入恶意属性。
另一方面,过去微软也曾提供有关Office应用程式中处理动态资料交换时的安全建议,Mimecast呼吁所有Excel用户应导入相关的安全设定,以避免成为网络攻击的受害者。
资料来源:iThome Security-