图片来源Microsoft官网
该工具包含在最新版本的Excel中,可作为旧版Excel的单独可下载插件使用。
在近日发布的研究中,Mimecast威胁中心的安全研究员阐述一种技术,通过该技术可以滥用Power Query功能在用户系统上运行恶意代码。该技术依赖于创建格式错误的Excel文档,这些文档是使用Power Query从攻击者的远程服务器导入的数据。
使用Power Query,攻击者可以将恶意内容嵌入到单独的数据源中,然后在打开时将内容加载到电子表格中。恶意代码可能被用来执行可能危及用户机器的恶意软件。甚至可以通过技术手段绕过分析通过电子邮件发送的文档的安全沙箱,然后允许用户下载和打开它们。图片来源Microsoft官网
禁止DDE 支持来免受攻击
Power Query技术与SensePost在2017年详细介绍的类似恶意软件分发方法类似,它滥用了另一个Excel功能来导入Excel文件中的数据,即动态数据交换(DDE)。
据有关研究人员表示,他们联系了微软,告知他们发现的攻击媒介。但就像DDE的情况一样,微软拒绝修补这个问题,因为它实际上并不是设计功能的漏洞,只是可能被有心人滥用了做坏事的合法功能。
此外,微软表示,通过禁用Excel中的DDE支持,用户还应该受到保护,免受滥用Power Query的攻击,Power Query最初是为了在DDE上工作而构建的。
2017年12月,Microsoft默认禁用Word中的DDE支持,但在Excel中将该功能保持活动状态,因为排除恶意软件分发的风险,它可以出于合法目的有更多应用价值。图片来源Microsoft官网
有关如何在Excel中禁用DDE的说明,请参阅Microsoft的KB4053440建议。