Excel 曝出 Power Query 安全漏洞,1.2 亿用户易受远程 DDE 攻击
攻击者只需引诱受害者打开一个电子表格,即可发起远程 DDE 攻击,而无需用户执行任何进一步的操作或确认。
作者/来源: 安华金和
近日,Mimecast 威胁中心的安全研究人员,发现了微软 Excel 电子表格应用程序的一个新漏洞,获致 1.2 亿用户易受网络攻击。其指出,该安全漏洞意味着攻击者可以利用 Excel 的 Power Query 查询工具,在电子表格上启用远程动态数据交换(DDE),并控制有效负载。此外,Power Query 还能够用于将恶意代码嵌入数据源并进行传播。
(图自:Mimecast,via BetaNews)
Mimecast 表示,Power Query 提供了成熟而强大的功能,且可用于执行通常难以被检测到的攻击类型。
令人担忧的是,攻击者只需引诱受害者打开一个电子表格,即可发起远程 DDE 攻击,而无需用户执行任何进一步的操作或确认。
对于这项发现,Ofir Shlomo 在一篇博客文章中写到:Power Query 是一款功能强大且可扩展的商业智能(BI)工具,用户可将其与电子表格或其它数据源集成,比如外部数据库、文本文档、其它电子表格或网页等。链接源时,可以加载数据、并将之保存到电子表格中,或者动态地加载(比如打开文档时)。
Mimecast 威胁中心团队发现,Power Query 还可用于发起复杂的、难以检测的攻击,这些攻击结合了多个方面。
借助 Power Query,攻击者可以将恶意内容嵌入到单独的数据源中,然后在打开时将内容加载到电子表格中,恶意代码可用于删除和执行可能危及用户计算机的恶意软件。
作为协调漏洞披露(CVD)的一部分,Mimecast 与微软合作,来鉴定操作是否是 Power Query 的预期行为,以及相应的解决方案。
遗憾的是,微软并没有发布针对 Power Query 的漏洞修复程序,而是提供一种解决方案来缓解此问题。
来源:cnBeta.COM
更多资讯
苹果安全主管将出席黑帽大会 详解 iOS 13 和 macOS 安全性苹果安全工程主管 Ivan Krstic 将出席 8 月 8 日举行的黑帽安全大会,谈论 iOS 13 和 macOS Catalina 幕后的安全技术,以及全新查找 App 的工作原理。Ivan Krstic 将带来 50 分钟的演讲《iOS 和 Mac 安全性幕后的故事》,这也将是苹果首次公开介绍 iOS 13 和 Mac 关键安全技术。
来源: MacX
详情: http://www.dbsec.cn/zx/20190629-2.html
路透社:五眼联盟曾对Yandex研发部门发起渗透 欲监视用户账户信息路透社报道称,为西方情报机构工作的黑客,曾在 2018 年底侵入了俄罗斯互联网巨头 Yandex 的网络,并部署了一款罕见的恶意软件,企图对用户账户展开监视。其援引四位知情人士的话称,这款恶意软件名叫 Regin,被美国、英国、澳大利亚、新西兰和加拿大的“五眼”情报联盟所分享。对于此事,上述国家的情报机构均未予置评。
来源: cnBeta.COM
详情: http://www.dbsec.cn/zx/20190629-3.html
海淀法院集中宣判搜狗输入法劫持三大搜索引擎流量不正当竞争案6月27日,海淀法院对奇虎公司、百度公司,以及动景公司和神马公司因搜狗输入法通过搜索候选词为搜狗搜索导流量分别起诉搜狗公司等不正当竞争纠纷三案集中宣判。
来源: 财经网
详情: http://www.dbsec.cn/zx/20190629-4.html
AWS S3服务器泄露了财富100强企业的数据:福特,Netflix,TD银行Attunity是一家为全球最大公司提供数据管理,仓储和复制服务的以色列IT公司,它在没有密码的情况下将三个Amazon S3存储桶暴露在互联网上之后,暴露了一些客户的数据。
来源: ZDNet
详情: http://www.dbsec.cn/zx/20190629-5.html
(信息来源于网络,安华金和搜集整理)