近日,Mimecast 威胁中心的安全研究人员,发现了微软 Excel 电子表格应用程序的一个新漏洞,获致 1.2 亿用户易受网络攻击。其指出,该安全漏洞意味着攻击者可以利用 Excel 的 Power Query 查询工具,在电子表格上启用远程动态数据交换(DDE),并控制有效负载。此外,Power Query 还能够用于将恶意代码嵌入数据源并进行传播。

(图自:Mimecast,via BetaNews)

Mimecast 表示,Power Query 提供了成熟而强大的功能,且可用于执行通常难以被检测到的攻击类型。

令人担忧的是,攻击者只需引诱受害者打开一个电子表格,即可发起远程 DDE 攻击,而无需用户执行任何进一步的操作或确认。

对于这项发现,Ofir Shlomo 在一篇博客文章中写到:Power Query 是一款功能强大且可扩展的商业智能(BI)工具,用户可将其与电子表格或其它数据源集成,比如外部数据库、文本文档、其它电子表格或网页等。链接源时,可以加载数据、并将之保存到电子表格中,或者动态地加载(比如打开文档时)。

Mimecast 威胁中心团队发现,Power Query 还可用于发起复杂的、难以检测的攻击,这些攻击结合了多个方面。

借助 Power Query,攻击者可以将恶意内容嵌入到单独的数据源中,然后在打开时将内容加载到电子表格中,恶意代码可用于删除和执行可能危及用户计算机的恶意软件。

作为协调漏洞披露(CVD)的一部分,Mimecast 与微软合作,来鉴定操作是否是 Power Query 的预期行为,以及相应的解决方案。

遗憾的是,微软并没有发布针对 Power Query 的漏洞修复程序,而是提供一种解决方案来缓解此问题。

转载于:https://www.cnblogs.com/probemark/p/11223308.html

Excel 曝Power Query安全漏洞相关推荐

  1. excel学习-power query安装

    power query安装

  2. 利用Excel Power Query获取基金历史净值、估值和日增长率等信息

    利用Excel Power Query获取基金历史净值.估值和日增长率等信息 先展示结果 Excel Power Query说明 基金数据源 数据查询API接口分析 Excel query 查询获取基 ...

  3. EXCEL中的POWER QUERY功能简介

    点击蓝字 关注我们 一 前言 如果你在工作中或项目中需要大量使用EXCEL处理数据, 那么请务必了解一下POWER QUERY. 因为它将极大的优化你的工作: 解决一些EXCEL公式性能很差的情况 解 ...

  4. excel+power query进行文本数据拆分和提取

    我的博客之前分享了pandas中文本数据的拆分和提取 由于数据量不大,我们也可以使用excel和它自带的插件power query进行同样的处理. 原始数据如下: 数据来源见此贴 登录爬取拉勾网2.0 ...

  5. BI神器Power Query(1)-- 什么是PQ?

    开始讲Power Query之前,不得不先讲一下数据处理中的ETL(Extract-Transform-Load的缩写).ETL指将数据从"数据源"经过"提取–转换–加载 ...

  6. power query连接mysql

    踩坑了半天,其实按照excel操作提示就可以了.新建查询选择从数据库-mysql数据库,没有下载组件会弹出下面窗口,点击了解详细信息. 点入以后,选择mysql连接器,会连接到mysql官网,选择OD ...

  7. 批量模糊查询_模糊匹配,Power Query的这个功能太实用了,可惜Excel还没有

    最近有几个星友问到,如何进行数据的模糊匹配?本文就利用一个简单的例子,来看看PowerBI是如何快速完成模糊匹配的. 模拟数据如下,有两个表,分别是各省市2018和2019年的数据, 这是个很常见的场 ...

  8. 【PowerBi】Power Query导入Excel数据

    文章目录 import scott data from excel Power Query 在emp表comm列null中将其替换为0 创建`totalsal`列 将列名`ename`重命名为`Emp ...

  9. 表头合并_多个Excel表格合并数据麻烦?试试Power Query轻松帮你解决

    Hi!大家好!欢迎来到小龙自修室! 又到了小龙分享时间!(今天的内容有点多,希望各位看官一定要看到最后!有惊喜) 上一篇文字小龙和大家一起制作了一个限定数据内容录入的电子表格,我的表格我做主! 表格做 ...

  10. 数据分析实用工具——EXCEL下的power query自动取数

    提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一.power query 二.实用功能 1.选择数据源 2.数据格式处理 3.进阶数据处理 4.自动取数的路径问题 ...

最新文章

  1. jsp自定义图文新闻列表标签结合ssh2,带分页功能
  2. 关于阿里面试的的一个小题
  3. aem是什么意思_一台400匹的宽体RX7不装转子引擎,那装的是什么?
  4. 安卓动态调试七种武器之离别钩 – Hooking(下)
  5. Seata多微服务互相调用_全局分布式事物使用案例_业务数据库准备---微服务升级_SpringCloud Alibaba工作笔记0059
  6. MS SQL开发经典
  7. c++图的创建_利用Microsoft Visio 软件绘制工艺流程图
  8. Maven+Eclipse+SparkStreaming+Kafka整合
  9. 分时问候并显示不用图片案例
  10. 无线服务器软件,无线局域网AAA服务器的软件设计与实现
  11. 【今日CV 计算机视觉论文速览 第144期】Wed, 17 Jul 2019
  12. 基于单片机的八路抢答器系统设计(#0402)
  13. 评价模型总结——个人学习笔记(二)
  14. Minidwep-gtk字典 破 WPA
  15. 20190303-AJAX教程
  16. Siamese 目标跟踪:Learning to Fuse Asymmetric Feature Maps in Siamese Trackers(CVPR2021)
  17. 图扑软件以轻量化建模构建智慧城市
  18. wp兼容了android应用程序,WP兼容了Android应用 微软的春天就来了?
  19. GAS超标,以太坊告急
  20. Azure IoT Edge入门(2)部署一台Edge Device

热门文章

  1. c++类与对象之默认成员函数
  2. ijkplayer框架深入剖析
  3. java开源规则引擎比较_几款常用规则引擎的简单对比及演示
  4. 双屏鼠标经常跑到副屏_双屏游戏本什么体验?上手ROG冰刃双屏:效率直接拉满...
  5. mysql实现分布式锁_数据库实现分布式锁
  6. python-学生管理系统--4修改学生信息
  7. $.getjson异常信息提示_【Java视频教程】day24-异常??????
  8. iphone开机白苹果_iphone白苹果原因是什么 iphone白苹果解决方法【介绍】
  9. linux修改ip配置文件_SSH连接Linux主机进行开发
  10. php post 漏洞_漏洞研究|ThinkPHP request函数远程代码执行