歡迎光臨
每天分享高質量文章

Excel 曝出 Power Query 安全漏洞,1.2 億用戶易受遠程 DDE 攻擊

攻擊者只需引誘受害者打開一個電子錶格,即可發起遠程 DDE 攻擊,而無需用戶執行任何進一步的操作或確認。
作者/來源:安華金和

近日,Mimecast 威脅中心的安全研究人員,發現了微軟 Excel 電子錶格應用程式的一個新漏洞,獲致 1.2 億用戶易受網絡攻擊。其指出,該安全漏洞意味著攻擊者可以利用 Excel 的 Power Query 查詢工具,在電子錶格上啟用遠程動態資料交換(DDE),並控制有效負載。此外,Power Query 還能夠用於將惡意代碼嵌入資料源併進行傳播。

(圖自:Mimecast,via BetaNews)

Mimecast 表示,Power Query 提供了成熟而強大的功能,且可用於執行通常難以被檢測到的攻擊型別。

令人擔憂的是,攻擊者只需引誘受害者打開一個電子錶格,即可發起遠程 DDE 攻擊,而無需用戶執行任何進一步的操作或確認。

對於這項發現,Ofir Shlomo 在一篇博客文章中寫到:Power Query 是一款功能強大且可擴展的商業智慧(BI)工具,用戶可將其與電子錶格或其它資料源集成,比如外部資料庫、文本文件、其它電子錶格或網頁等。鏈接源時,可以加載資料、並將之儲存到電子錶格中,或者動態地加載(比如打開文件時)。

Mimecast 威脅中心團隊發現,Power Query 還可用於發起複雜的、難以檢測的攻擊,這些攻擊結合了多個方面。

借助 Power Query,攻擊者可以將惡意內容嵌入到單獨的資料源中,然後在打開時將內容加載到電子錶格中,惡意代碼可用於刪除和執行可能危及用戶計算機的惡意軟體。

作為協調漏洞披露(CVD)的一部分,Mimecast 與微軟合作,來鑒定操作是否是 Power Query 的預期行為,以及相應的解決方案。

遺憾的是,微軟並沒有發佈針對 Power Query 的漏洞修複程式,而是提供一種解決方案來緩解此問題。

來源:cnBeta.COM

更多資訊

蘋果安全主管將出席黑帽大會 詳解 iOS 13 和 macOS 安全性

蘋果安全工程主管  Ivan Krstic 將出席 8 月 8 日舉行的黑帽安全大會,談論 iOS 13 和 macOS Catalina 幕後的安全技術,以及全新查找 App 的工作原理。Ivan Krstic 將帶來 50 分鐘的演講《iOS 和 Mac 安全性幕後的故事》,這也將是蘋果首次公開介紹 iOS 13 和 Mac 關鍵安全技術。

來源:MacX
詳情: http://www.dbsec.cn/zx/20190629-2.html

路透社:五眼聯盟曾對Yandex研發部門發起滲透 欲監視用戶賬戶信息

路透社報道稱,為西方情報機構工作的黑客,曾在 2018 年底侵入了俄羅斯互聯網巨頭 Yandex 的網絡,並部署了一款罕見的惡意軟體,企圖對用戶賬戶展開監視。其援引四位知情人士的話稱,這款惡意軟體名叫 Regin,被美國、英國、澳大利亞、新西蘭和加拿大的“五眼”情報聯盟所分享。對於此事,上述國家的情報機構均未予置評。

來源:cnBeta.COM
詳情: http://www.dbsec.cn/zx/20190629-3.html

海澱法院集中宣判搜狗輸入法劫持三大搜索引擎流量不正當競爭案

6月27日,海澱法院對奇虎公司、百度公司,以及動景公司和神馬公司因搜狗輸入法通過搜索候選詞為搜狗搜索導流量分別起訴搜狗公司等不正當競爭糾紛三案集中宣判。

來源:財經網
詳情: http://www.dbsec.cn/zx/20190629-4.html

AWS S3服務器泄露了財富100強企業的資料:福特,Netflix,TD銀行

Attunity是一家為全球最大公司提供資料管理,倉儲和複製服務的以色列IT公司,它在沒有密碼的情況下將三個Amazon S3儲存桶暴露在互聯網上之後,暴露了一些客戶的資料。

來源:ZDNet
詳情: http://www.dbsec.cn/zx/20190629-5.html

(信息來源於網絡,安華金和搜集整理)

赞(0)

分享創造快樂