哈Ha! 我向您介绍Lily Hay Newman撰写的文章
“黑客如何将Microsoft Excel自身的功能与其相对比” 。
埃琳娜·莱西,盖蒂图片社对于我们许多人来说,Microsoft Excel当然是一个无聊的程序。 她知道很多事情,但仍然不是Apex Legends。 黑客对Excel的看法有所不同。 对于他们来说,Office 365应用程序是另一个攻击媒介。 最近的两项发现清楚地说明了如何针对自己使用程序的本机功能。
周四,网络威胁公司Mimecast的专家讨论了Excel中内置的Power Query功能如何用于攻击操作系统级别。 Power Query自动从指定来源(例如数据库,电子表格,文档或网站)收集数据,并将其插入电子表格中。 如果链接的网站包含恶意文件,此功能也可能会受到损害。 通过发送这样经过特殊准备的表,黑客希望最终获得系统级别的权限和/或安装后门的能力。
Mimecast首席执行官Meni Farjon说:“攻击者无需发明任何东西,只需打开Microsoft Excel并使用其自身的功能即可。” “该方法对于所有100个用户也都是可靠的。攻击与所有版本的Excel(包括最新版本)都相关,并且可能适用于所有操作系统和编程语言,因为我们不是在处理错误,而是在与程序本身的功能打交道。 对于黑客来说,这是一个非常有希望的领域。”
Fargejon解释说,一旦Power Query连接到假站点,攻击者就可以使用动态数据交换。 通过Windows中的此协议,可以在应用程序之间交换数据。 通常,程序的权利受到严格限制,而DDE充当交换的中介。 攻击者可以将与DDE兼容的攻击说明上载到站点,Power Query会自动将其上载到表中。 同样,您可以下载其他类型的恶意软件。
但是,在建立DDE连接之前,用户必须接受该操作。 而且大多数用户都同意所有请求而无需看。 因此,成功攻击的百分比很高。
在2017年的“安全报告”中,微软已经提供了解决方案。 例如对于特定的应用程序禁用DDE。 但是,Mimecast检测到的攻击类型描述了无法选择禁用DDE的设备上的代码执行。 在公司于2018年6月报告该漏洞之后,微软回答说它不会做任何更改。 Farjon说,他们等了整整一年才向世界介绍这个问题,希望微软能改变立场。 尽管目前还没有证据表明攻击者使用了这种类型的攻击,但是由于其行为的性质,因此很难注意到。 “不幸的是,黑客很可能会抓住这个机会,” Farjon说。 “这种攻击易于实施,便宜,可靠且前景广阔。”
此外,微软自己的安全团队上周警告所有人,网络犯罪分子正在积极使用另一项Excel功能,即使安装了所有最新补丁程序,该功能也允许他们访问系统。 这种类型的攻击使用宏并针对韩国用户。 宏距第一年还很遥远,因此给Word和Excel带来了很多问题。 它们是一组可编程指令,如果在开发人员设想的场景中不使用它们,则不仅可以简化工作,而且可以使工作复杂化。
显然,Office 365用户希望看到越来越多的新功能,但是该程序的每个新组件都存在潜在的风险。 程序越复杂,黑客的攻击媒介就越多。 微软表示,Windows Defender之所以能够阻止此类攻击,是因为它知道该注意什么。 但是Mimecast的发现提醒人们,总是存在变通方法。
“如果您使用传统方法,进入组织网络将变得越来越困难,” Agari电子邮件安全部门的高级安全警卫Ronnie Tokazowski说。 “如果您甚至不需要为成功的攻击而破坏任何东西,那么您将沿着阻力最小的道路走得更远,而Windows版本则无关紧要。”
微软表示,宏和Power Query都可以在管理员级别轻松管理。 组策略允许您一次配置组织中所有设备的行为。 但是,如果出于用户安全原因必须禁用内置功能,则会出现问题:“是否需要?”