新的 Excel 漏洞使 120 億用戶面臨風險

安全研究人員在 Microsoft Excel 中發現了一個新漏洞，該漏洞可能使超過 120 億用戶面臨風險。 該漏洞是由安全公司 Mimecast Services Ltd 的研究人員發現的。

該漏洞利用了 Excel 中的 Power Query 功能，該功能允許用戶從其他來源提取數據。 Mimecast Services Ltd 的研究人員發表了一篇 博客文章 (通過 SiliconANGLE) 解釋漏洞如何被黑客利用。 該漏洞將允許黑客使用 Power Query 對 Excel 電子表格發起遠程動態數據交換攻擊。 不僅如此，該漏洞還將允許黑客發起更複雜的攻擊，這些攻擊涉及惡意軟件，一旦打開電子表格，就會破壞用戶的機器。

該功能提供瞭如此豐富的控制，甚至可以在交付任何有效負載之前對沙箱或受害者的機器進行指紋識別。 攻擊者俱有潛在的預載荷和預利用控制，可以向受害者提供惡意載荷，同時使文件對沙箱或其他安全解決方案看起來無害。

好消息是微軟已經知道這個漏洞並且確實在 2017年十一月. 該公告指出，用戶需要點擊幾個安全警告才能將惡意軟件安裝到他們的系統上。 微軟還建議用戶在不使用時禁用 DDE 功能以阻止外部數據連接。

Mimecast 強烈建議所有 Microsoft Excel 客戶實施 Microsoft 建議的解決方法，因為對這些 Microsoft 用戶的潛在威脅是真實存在的，並且該漏洞利用可能具有破壞性。

好消息是沒有關於該漏洞在野外被利用的報告。 然而，壞消息是 DDE 功能通常默認啟用，用戶在不使用時可能不會將其關閉。 Mimecast 的首席科學家 Meni Farjon 指出，目前尚不清楚有多少組織遵循微軟早先的建議，並表示“許多組織不太可能禁用它。”

截至目前，微軟剛剛發布了一份公告，並依靠用戶採取適當的行動。 現在明智的做法是禁用 DDE 功能並且不要下載和打開通過電子郵件發送的電子表格。 最後但並非最不重要的一點是，請確保不要忽略 Excel 的任何安全提示，因為這些提示可能會警告您有關潛在惡意軟件的信息。