Excel Power Query 工具缺陷可被用于远程嵌入恶意 payload，微软拒绝修复

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

安全研究员找到一种滥用微软合法 Excel 技术 Power Query 在用户系统上运行恶意代码的方法，只需最少交互即可。

Power Query 是一种数据连接技术，可使 Excel 文件在远程来源如外部数据库、文本文档、其它工作表或网页中发现、连接、组合并操纵数据。该工具集成到了 Excel 的最近版本中，而且可用作老旧 Excel 版本的单独的可下载附件。

Mimecast 威胁中心公司的一名安全研究员 Ofir Shlomo 发布研究结果表示，通过一种技术能够在用户系统上滥用 Power Query 功能运行恶意代码。这种技术依靠的是使用 Power Query 从攻击者远程服务器中导入数据来创建恶意 Excel 文档。

Shlomo 表示，“攻击者能够使用 Power Query 将恶意内容嵌入到单独的数据源中，之后将内容加载到打开的工作表中。恶意代码可被用于释放并执行恶意文件，攻陷用户机器。”

Mimecast 公司研究员提到的技术甚至能够绕过安全沙箱。该安全沙箱用于分析在用户下载并打开之前经由邮件发送的文档。

Power Query 技术和 SensePost 公司在2017年详细提到的一种恶意软件传播方式类似，后者滥用的是 Excel 的另外一种导入数据的功能“动态数据交换 (DDE)”。

Mimecast 公司表示他们在发现该攻击向量后告知微软，但和 DDE 缺陷遭遇的情况一样，微软拒绝修复该问题，因为该功能的设计本如此，只不过是恶意人员滥用合法功能使坏。

此外，微软表示，禁用 Excel 中的 DDE 支持应该能够阻止攻击者滥用 Power Query。

2017年12月，微软默认在 Word 中禁用 DDE 支持但在 Excel 中并未禁用。

禁用 DDE 的方法请见：https://docs.microsoft.com/en-us/security-updates/securityadvisories/2017/4053440。

原文链接

https://www.zdnet.com/article/microsoft-excel-power-query-feature-can-be-abused-for-malware-distribution/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”。