已发现Microsoft Excel商业智能工具中的一个新漏洞,该漏洞使攻击者有机会远程启动恶意软件并接管用户的系统。Mimecast的研究人员在Power Query(PQ)中发现了一个漏洞,这是一个强大的可扩展的Microsoft Excel商业智能工具,允许用户将电子表格与其他业务领域(如外部数据库、文本文档和网页)集成。
该漏洞基于应用程序之间的数据通信方法,该方法在Microsoft Office套件中使用,称为动态数据交换(DDE)。DDE攻击并不是什么新鲜事。许多成功的恶意软件活动都使用这种方法来破坏文档。但是,这种特殊的攻击会使违法者获得重要的行政权利。
“在电子邮件攻击的情况下,攻击者可以通过向用户发送特制的文件来利用DDE协议,然后诱导用户打开文件,通常是通过电子邮件,”微软表示。“攻击者必须说服用户禁用保护模式,并点击一个或多个其他提示。”
通过这种攻击,攻击者可以对属于受害者的各种系统进行指纹识别,从而允许他们提供对受害者可能正在运行的沙箱和其他安全软件无害的有害代码。
Mimecast的研究人员Ofir Shlomo也表示,Power Query exploit可以用来发起复杂的攻击,难以检测的攻击结合了多个攻击面。
“通过Power Query,攻击者可以将恶意内容嵌入到单独的数据源中,然后在打开电子表格时将内容加载到电子表格中,”Shlomo在与IT Pro分享的研究博客中说。“恶意代码可能被用来丢弃和执行可能危及用户机器的恶意软件。"
DDE攻击对企业来说是臭名昭著的,因为他们在世界各地的工作场所都依赖于Microsoft Office软件。
APT28和APT37,俄罗斯和朝鲜的相关黑客组织近年来都在使用这项技术,并取得了不错的效果。其他团体使用格式错误的Word文档进行鱼叉式网络钓鱼活动。
什洛莫说:“这种攻击通常很难被发现,并给了威胁者更多的机会来摧毁受害者的主人。”通过利用Power Query中的潜在弱点,攻击者可以嵌入任何恶意的有效负载,这些有效负载不会保存在文档本身中,而是在打开文档时从Web上下载
当微软发现这是微软协调漏洞披露过程的一部分时,Mimecast接触并向微软披露了该问题。虽然微软没有提供解决这个问题的方法,但是他们分享了一个解决方案。
微软发布了一个咨询文档(咨询4053440),提供了在处理DDE字段时如何保护应用程序的提示和指导。这包括如何为Office和其他方法创建自定义注册表项的说明,每种方法都列出了各种优点和缺点。
什洛莫说:“袭击者想破坏受害者的调查。”“由于威胁情报在各种安全专家和信息共享平台之间共享,随着时间的推移,检测此类攻击是可能的。Mimecast强烈建议所有Microsoft Excel客户实施Microsoft建议的解决方案。作为这些微软的潜在威胁,用户是真实存在的,利用可能是破坏性的。”