Microsoft警告Excel中的远程执行漏洞利用

 
已发现Microsoft Excel商业智能工具中的新漏洞使攻击者有机会远程启动恶意软件并接管用户的系统。
Mimecast的研究人员在Power Query(PQ)中发现了一个漏洞，这是一个功能强大且可扩展的Microsoft Excel商业智能工具，允许用户将电子表格与其他业务领域(如外部数据库，文本文档和网页)集成。
该漏洞基于应用程序之间的数据通信方法，该方法在称为动态数据交换(DDE)的Microsoft Office套件中使用。 DDE攻击并不是什么新鲜事，许多成功的恶意软件活动都使用该方法来破坏文档，但是，这种特殊攻击会使犯罪者获得重要的管理权限。
“在电子邮件攻击情形中，攻击者可以通过向用户发送特制文件来利用DDE协议，然后诱使用户打开文件，通常是通过电子邮件引诱，”微软表示。 “攻击者必须说服用户禁用保护模式并点击一个或多个其他提示。”
利用该攻击，攻击者可以对属于受害者的各个系统进行指纹识别，从而允许他们提供对沙箱和受害者可能正在运行的其他安全软件无害的有害代码。
Mimecast研究员Ofir Shlomo还表示，Power Query漏洞利用可用于发动复杂的攻击，难以检测的攻击组合了多个攻击面。
“使用Power Query，攻击者可以将恶意内容嵌入到单独的数据源中，然后在打开时将内容加载到电子表格中，”Shlomo在与IT Pro分享的研究博客中表示。 “恶意代码可能被用来丢弃和执行可能危及用户机器的恶意软件。”
由于DDE攻击在全球工作场所广泛依赖Microsoft Office软件，因此对于企业来说是臭名昭着的。
APT28和APT37，俄罗斯和朝鲜相关的黑客组织近年来都使用该技术取得了良好的效果，其他团体利用畸形的Word文档用于鱼叉式网络钓鱼活动。
“这种攻击通常难以察觉，并使威胁行为者有更多机会破坏受害者的主人，”Shlomo说。 “利用Power Query中的潜在弱点，攻击者可能会嵌入任何恶意的有效载荷，这些有效载荷不会保存在文档本身内，而是在文档打开时从Web下载。”
当微软发现它是微软协调漏洞披露流程的一部分时，Mimecast接近并向微软披露了这一问题。虽然微软尚未针对该问题提供修复，但他们确实分享了一种解决方法。
Microsoft发布了一份咨询文档(咨询4053440)，该文档提供了有关如何在处理DDE字段时保护应用程序的提示和指导。这包括有关如何为Office和其他方法创建自定义注册表项的说明，每种方法都列出了各种优缺点。
“攻击者希望破坏受害者的侦查，”Shlomo说。 “由于各种安全专家和信息共享平台之间共享威胁情报，有可能随着时间的推移检测到这种攻击，Mimecast强烈建议所有Microsoft Excel客户实施Microsoft建议的解决方案，作为对这些Microsoft的潜在威胁用户是真实的，利用可能是破坏性的。“