Miljontals Microsoft Excel-användare som är utsatta för fjärranslutna DDE-attacker när ny exploatering upptäcks

0 Shares

Säkerhetsforskare från Mimecast Threat Center har upptäckt ett Excel-utnyttjande som kan lämna 120 miljoner användare utsatta för attacker.

Säkerhetsfelet innebär att det är möjligt att använda Excels Power Query-verktyg för att dynamiskt starta ett fjärranslutet Dynamic Data Exchange (DDE) -angrepp på ett kalkylark och aktivt styra nyttolasten. Forskarna fann också att Power Query kunde användas för att bädda in skadlig kod i en datakälla och sprida skadlig kod.

Se även:

De kraftfulla funktionerna som Power Query erbjuder gör det moget för exploatering, säger Mimecast. Och de typer av attacker som det kan användas för att utföra kan vara mycket svåra att upptäcka. Oroande nog är allt det kan ta att öppna ett kalkylark för att en attack ska kunna ske – det finns inget behov av ytterligare användaråtgärder eller bekräftelse.

I ett blogginlägg om upptäckten skriver Mimecasts Ofir Shlomo:

Power Query är ett kraftfullt och skalbart BI-verktyg (Business Intelligence) som låter användare integrera sina kalkylark med andra datakällor, till exempel en extern databas, ett textdokument, ett annat kalkylark eller en webbsida, för att nämna några. När källor är länkade kan data laddas och sparas i kalkylbladet eller laddas dynamiskt (till exempel när dokumentet öppnas).

Mimecast Threat Center-teamet fann att Power Query också kunde användas för att starta sofistikerade, svårt att upptäcka attacker som kombinerar flera attackytor. Med hjälp av Power Query kan angripare bädda in skadligt innehåll i en separat datakälla och sedan ladda innehållet i kalkylbladet när det öppnas. Den skadliga koden kan användas för att släppa och köra skadlig kod som kan äventyra användarens maskin.

Funktionen ger så rika kontroller att den kan användas för att fingeravtrycka en sandlåda eller offrets maskin även innan den levererar några nyttolaster. Angriparen har potentiella kontroller före nyttolast och före utnyttjande och kan leverera en skadlig nyttolast till offret samtidigt som filen blir ofarlig för en sandlåda eller andra säkerhetslösningar.

Han tillägger att:

Mimecast arbetade med Microsoft som en del av CVD-processen (Coordinated Vulnerability Disclosure) för att avgöra om detta är ett avsett beteende för Power Query, eller om det var ett problem som skulle åtgärdas. Microsoft nekade att släppa en fix just nu och i stället erbjöd en lösning för att mildra problemet.

Microsoft utfärdade en rådgivning om säkerhetshålet för en tid sedan, men har valt att inte faktiskt fixa det.

Du kan läsa igenom Mimecasts forskning och se ett exempel på exploateringen på företagets blogg.

0 Shares