歡迎光臨
每天分享高質量文章

Excel 曝出 Power Query 安全漏洞,1.2 億使用者易受遠端 DDE 攻擊

攻擊者只需引誘受害者開啟一個電子錶格,即可發起遠端 DDE 攻擊,而無需使用者執行任何進一步的操作或確認。
作者/來源:安華金和

近日,Mimecast 威脅中心的安全研究人員,發現了微軟 Excel 電子錶格應用程式的一個新漏洞,獲致 1.2 億使用者易受網路攻擊。其指出,該安全漏洞意味著攻擊者可以利用 Excel 的 Power Query 查詢工具,在電子錶格上啟用遠端動態資料交換(DDE),並控制有效負載。此外,Power Query 還能夠用於將惡意程式碼嵌入資料源併進行傳播。

(圖自:Mimecast,via BetaNews)

Mimecast 表示,Power Query 提供了成熟而強大的功能,且可用於執行通常難以被檢測到的攻擊型別。

令人擔憂的是,攻擊者只需引誘受害者開啟一個電子錶格,即可發起遠端 DDE 攻擊,而無需使用者執行任何進一步的操作或確認。

對於這項發現,Ofir Shlomo 在一篇部落格文章中寫到:Power Query 是一款功能強大且可擴充套件的商業智慧(BI)工具,使用者可將其與電子錶格或其它資料源整合,比如外部資料庫、文字檔案、其它電子錶格或網頁等。連結源時,可以載入資料、並將之儲存到電子錶格中,或者動態地載入(比如開啟檔案時)。

Mimecast 威脅中心團隊發現,Power Query 還可用於發起複雜的、難以檢測的攻擊,這些攻擊結合了多個方面。

藉助 Power Query,攻擊者可以將惡意內容嵌入到單獨的資料源中,然後在開啟時將內容載入到電子錶格中,惡意程式碼可用於刪除和執行可能危及使用者計算機的惡意軟體。

作為協調漏洞披露(CVD)的一部分,Mimecast 與微軟合作,來鑒定操作是否是 Power Query 的預期行為,以及相應的解決方案。

遺憾的是,微軟並沒有釋出針對 Power Query 的漏洞修複程式,而是提供一種解決方案來緩解此問題。

來源:cnBeta.COM

更多資訊

蘋果安全主管將出席黑帽大會 詳解 iOS 13 和 macOS 安全性

蘋果安全工程主管  Ivan Krstic 將出席 8 月 8 日舉行的黑帽安全大會,談論 iOS 13 和 macOS Catalina 幕後的安全技術,以及全新查詢 App 的工作原理。Ivan Krstic 將帶來 50 分鐘的演講《iOS 和 Mac 安全性幕後的故事》,這也將是蘋果首次公開介紹 iOS 13 和 Mac 關鍵安全技術。

來源:MacX
詳情: http://www.dbsec.cn/zx/20190629-2.html

路透社:五眼聯盟曾對Yandex研發部門發起滲透 欲監視使用者賬戶資訊

路透社報道稱,為西方情報機構工作的駭客,曾在 2018 年底侵入了俄羅斯網際網路巨頭 Yandex 的網路,並部署了一款罕見的惡意軟體,企圖對使用者賬戶展開監視。其援引四位知情人士的話稱,這款惡意軟體名叫 Regin,被美國、英國、澳大利亞、紐西蘭和加拿大的“五眼”情報聯盟所分享。對於此事,上述國家的情報機構均未予置評。

來源:cnBeta.COM
詳情: http://www.dbsec.cn/zx/20190629-3.html

海澱法院集中宣判搜狗輸入法劫持三大搜索引擎流量不正當競爭案

6月27日,海澱法院對奇虎公司、百度公司,以及動景公司和神馬公司因搜狗輸入法透過搜尋候選詞為搜狗搜尋導流量分別起訴搜狗公司等不正當競爭糾紛三案集中宣判。

來源:財經網
詳情: http://www.dbsec.cn/zx/20190629-4.html

AWS S3伺服器洩露了財富100強企業的資料:福特,Netflix,TD銀行

Attunity是一家為全球最大公司提供資料管理,倉儲和複製服務的以色列IT公司,它在沒有密碼的情況下將三個Amazon S3儲存桶暴露在網際網路上之後,暴露了一些客戶的資料。

來源:ZDNet
詳情: http://www.dbsec.cn/zx/20190629-5.html

(資訊來源於網路,安華金和蒐集整理)

贊(0)

分享創造快樂