安全企业Mimecast Threat Center近日指出,微软Excel试算表中的Power Query,可能遭到黑客开采而自远程植入恶意程序,不过,微软并未将它当成安全漏洞,也不打算修补,而是提出了基于安全设置的解决办法。
Power Query为一数据连接技术,可用来搜索、连接、集成或调整不同的数据来源以满足用户的分析需求,当连接这些来源时,数据即可被存入或动态加载,该功能同时出现在Excel与Power BI上。
Mimecast安全研究团队负责人Ofir Shlomo指出,借由Power Query,黑客可在某个来源中嵌入一个恶意内容,并在试算表打开时加载该内容,以用来植入或执行恶意程序,属于远程动态数据交换(Dynamic Data Exchange,DDE)攻击。
Shlomo表示,Power Query具备丰富的控制能力,可在传送任何酬载(payload)前识别沙箱或受害者机器,有机会让黑客取得潜在的预先加载或预先开采控制能力,在将恶意酬载发送给受害者时,还能让文件看起来无害。
Mimecast并不确定这是Power Query功能或是安全漏洞,但在知会微软之后,微软并不打算修补,而是提供了解决方案,包括利用群组原则(Group Policy)或是Office的信任中心(Office Trust center)来阻挡外部的文件连接。
不过,Shlomo依然认为Power Query过于强大而带来许多潜在的攻击机会,像是本地端权限扩张、DDE攻击或远程程序执行等。Mimecast也展示如何以一个外部的服务器来托管恶意酬载,当Microsoft Excel 2016用户以Power Query请求该网页时,加载恶意内容。
另一方面,过去微软也曾提供有关Office应用程序中处理动态数据交换时的安全建议,Mimecast呼吁所有Excel用户应导入相关的安全设置,以避免成为网络攻击的受害者。