黑客攻防:利用Excel黑掉Office
責(zé)編:gltian |2019-07-03 16:19:00微軟經(jīng)典電子表格程序 Excel 在大多數(shù)人看來可能都有點沉悶無趣。畢竟又不是吃雞游戲,再能玩轉(zhuǎn)數(shù)據(jù),這也只是個辦公軟件。但對黑客而言,Excel 可好玩了。與 Office 365 套裝中的其他應(yīng)用程序一樣,Excel 也逃不脫被黑客利用來發(fā)起攻擊的命運。最近的兩個發(fā)現(xiàn)就完美演繹了該應(yīng)用程序自己的合法功能是如何被黑客利用來對自己下手的。
6 月 24 日,威脅情報公司 Mimecast 披露稱,Excel 一個名為 “Power Query”(增強版查詢)的功能可被利用來發(fā)起針對 Office 365 系統(tǒng)的攻擊。運用 Power Query ,用戶可將其他電子表格、文檔或網(wǎng)站等不同來源的數(shù)據(jù)綜合在一張電子表格里——就像數(shù)據(jù)庫一樣。然而,這種外連其他組件的機制卻也可被濫用于連向包含惡意軟件的惡意網(wǎng)頁。攻擊者可利用該機制分發(fā)惡意 Excel 電子表格,由此獲取系統(tǒng)權(quán)限,安裝后門,乃至造成巨大破壞。
Mimecast 首席科學(xué)家 Meni Farjon 表示:攻擊者無需發(fā)起復(fù)雜攻擊,只需打開微軟 Excel 然后使用其自帶工具即可。這招的可靠性近乎 100%。所有版本的 Excel 無一幸免,包括新版本,且可能橫掃全部操作系統(tǒng)、編程語言及子版本——因為該攻擊方法利用的是合法功能。這就讓攻擊者用得很趁手了。
Farjon 表示,一旦 Power Query 連接惡意網(wǎng)站,攻擊者便可發(fā)起動態(tài)數(shù)據(jù)交換 (DDE:Dynamic Data Exchange) 這樣的攻擊,利用 Windows 協(xié)議在操作系統(tǒng)中應(yīng)用程序間共享數(shù)據(jù)。數(shù)字系統(tǒng)通常會隔離各個應(yīng)用程序,若無授權(quán),各應(yīng)用程序間不能互動。所以,DDE 這樣的協(xié)議就好像某種中介,在應(yīng)用程序需要交流意見的時候就很有用了。但攻擊者可以在其網(wǎng)站中植入啟動 DDE 的指令,然后用惡意電子表格中的 Power Query 指令將網(wǎng)站數(shù)據(jù)與該電子表格融合,發(fā)起 DDE 攻擊。他們也可以使用同樣的套路通過 Power Query 往目標(biāo)系統(tǒng)上釋放其他惡意軟件。
微軟會在兩個應(yīng)用程序準(zhǔn)備通過 DDE 互連時彈框警示用戶,但自 2014 年開始,黑客便會誘騙用戶點掉彈框,從 Word 文檔和 Excel 電子表格發(fā)起 DDE 攻擊。
微軟曾在 2017 年的一份安全咨詢中提供了如何避免此類攻擊的建議,比如禁用 Office 辦公套件的 DDE。但 Mimecast 的發(fā)現(xiàn)提供了發(fā)起此類攻擊的另一條路,且安全解決方案目前尚未就位。研究人員早在 2018 年 6 月就向微軟報告了該 Power Query 漏洞,但微軟表示不會對此功能做任何改變,也確實沒做出任何改變。Mimecast 足足等待了一年才公開披露其發(fā)現(xiàn),期間萬分期待微軟會改變主意。盡管 Mimecast 尚未發(fā)現(xiàn) Power Query 有被惡意黑客利用的跡象,研究人員表示,這是由于該攻擊源于合法功能而非常難以檢測。安全工具需融合特定監(jiān)視功能才能捕獲到該利用行為。
Farjon 表示,攻擊者絕對會利用該功能,這方法簡單、可用、便宜,還很靠譜。
而就在上周,微軟自己的安全情報團隊也警告稱,攻擊者正大肆利用 Excel 的另一功能入侵 Windows 主機,即便最新的安全更新都擋不住。該攻擊目前似乎僅針對韓語用戶,通過惡意宏發(fā)起。多年來,因為能執(zhí)行一系列指令,宏功能一直是黑客的心頭好,被用于往 Word 和 Excel 中嵌入惡意指令投放至目標(biāo)主機運行。宏功能原本旨在成為提升效率的自動化工具,但功能擴展越豐富,潛在濫用也就越多。
Office 365 用戶自然想要新鮮有用的功能,但每個新組件在帶來新功能的同時也引入了被濫用的潛在風(fēng)險。應(yīng)用程序功能越強大,操作越靈活,黑客也就越能摸索出這些程序的惡意操作方式。微軟稱其 Windows Defender 惡意軟件掃描系統(tǒng)可以封鎖上周披露的宏攻擊——因為自家開發(fā)的安全系統(tǒng)最清楚該找些什么。但 Mimecast 的發(fā)現(xiàn)再一次提醒:總有另外的入侵路線有待黑客發(fā)掘。
電子郵件安全公司 Agari 高級威脅研究員 Ronnie Tokazowski 稱:想用 “傳統(tǒng)” 漏洞利用方法感染某個組織的難度越來越大。但只要攻擊者能找到可以濫用的合法功能,他們就不用操心越來越難的漏洞挖掘,也不用關(guān)心目標(biāo)系統(tǒng)的 Windows 版本了。走阻力最小的那條道就行。
微軟表示,宏攻擊和 Power Query 攻擊都可以采用 Office 365 的組策略功能加以控制。管理員可使用該功能批量調(diào)整公司所有設(shè)備的設(shè)置。但用戶須禁用某些功能才能免遭攻擊,這種現(xiàn)象令人不得不質(zhì)疑這些功能是否有必要存在。
微軟 2017 年的安全咨詢:
https://docs.microsoft.com/en-us/security-updates/securityadvisories/2017/4053440
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧