2019-12-17

网络空间安全第二课

07-03 安云数据共享阅读824
微软经典电子表格程序 Excel 在大多数人看来可能都有点沉闷无趣。毕竟又不是吃鸡游戏，再能玩转数据，这也只是个办公软件。但对黑客而言，Excel 可好玩了。与 Office 365 套装中的其他应用程序一样，Excel 也逃不脱被黑客利用来发起攻击的命运。最近的两个发现就完美演绎了该应用程序自己的合法功能是如何被黑客利用来对自己下手的。

6 月 24 日，威胁情报公司 Mimecast 披露称，Excel 一个名为 “Power Query”（增强版查询）的功能可被利用来发起针对 Office 365 系统的攻击。运用 Power Query ，用户可将其他电子表格、文档或网站等不同来源的数据综合在一张电子表格里——就像数据库一样。然而，这种外连其他组件的机制却也可被滥用于连向包含恶意软件的恶意网页。攻击者可利用该机制分发恶意 Excel 电子表格，由此获取系统权限，安装后门，乃至造成巨大破坏。

Mimecast 首席科学家 Meni Farjon 表示：攻击者无需发起复杂攻击，只需打开微软 Excel 然后使用其自带工具即可。这招的可靠性近乎 100%。所有版本的 Excel 无一幸免，包括新版本，且可能横扫全部操作系统、编程语言及子版本——因为该攻击方法利用的是合法功能。这就让攻击者用得很趁手了。

Farjon 表示，一旦 Power Query 连接恶意网站，攻击者便可发起动态数据交换 (DDE：Dynamic Data Exchange) 这样的攻击，利用 Windows 协议在操作系统中应用程序间共享数据。数字系统通常会隔离各个应用程序，若无授权，各应用程序间不能互动。所以，DDE 这样的协议就好像某种中介，在应用程序需要交流意见的时候就很有用了。但攻击者可以在其网站中植入启动 DDE 的指令，然后用恶意电子表格中的 Power Query 指令将网站数据与该电子表格融合，发起 DDE 攻击。他们也可以使用同样的套路通过 Power Query 往目标系统上释放其他恶意软件。

微软会在两个应用程序准备通过 DDE 互连时弹框警示用户，但自 2014 年开始，黑客便会诱骗用户点掉弹框，从 Word 文档和 Excel 电子表格发起 DDE 攻击。

微软曾在 2017 年的一份安全咨询中提供了如何避免此类攻击的建议，比如禁用 Office 办公套件的 DDE。但 Mimecast 的发现提供了发起此类攻击的另一条路，且安全解决方案目前尚未就位。研究人员早在 2018 年 6 月就向微软报告了该 Power Query 漏洞，但微软表示不会对此功能做任何改变，也确实没做出任何改变。Mimecast 足足等待了一年才公开披露其发现，期间万分期待微软会改变主意。尽管 Mimecast 尚未发现 Power Query 有被恶意黑客利用的迹象，研究人员表示，这是由于该攻击源于合法功能而非常难以检测。安全工具需融合特定监视功能才能捕获到该利用行为。

Farjon 表示，攻击者绝对会利用该功能，这方法简单、可用、便宜，还很靠谱。

而就在上周，微软自己的安全情报团队也警告称，攻击者正大肆利用 Excel 的另一功能入侵 Windows 主机，即便最新的安全更新都挡不住。该攻击目前似乎仅针对韩语用户，通过恶意宏发起。多年来，因为能执行一系列指令，宏功能一直是黑客的心头好，被用于往 Word 和 Excel 中嵌入恶意指令投放至目标主机运行。宏功能原本旨在成为提升效率的自动化工具，但功能扩展越丰富，潜在滥用也就越多。

Office 365 用户自然想要新鲜有用的功能，但每个新组件在带来新功能的同时也引入了被滥用的潜在风险。应用程序功能越强大，操作越灵活，黑客也就越能摸索出这些程序的恶意操作方式。微软称其 Windows Defender 恶意软件扫描系统可以封锁上周披露的宏攻击——因为自家开发的安全系统最清楚该找些什么。但 Mimecast 的发现再一次提醒：总有另外的入侵路线有待黑客发掘。

电子邮件安全公司 Agari 高级威胁研究员 Ronnie Tokazowski 称：想用 “传统” 漏洞利用方法感染某个组织的难度越来越大。但只要攻击者能找到可以滥用的合法功能，他们就不用操心越来越难的漏洞挖掘，也不用关心目标系统的 Windows 版本了。走阻力最小的那条道就行。

微软表示，宏攻击和 Power Query 攻击都可以采用 Office 365 的组策略功能加以控制。管理员可使用该功能批量调整公司所有设备的设置。但用户须禁用某些功能才能免遭攻击，这种现象令人不得不质疑这些功能是否有必要存在。

不是原创

2019-12-17相关推荐

filecoin/lotus 官方开发文件中文翻译2019.12.17最新版本
filecoin官方开发文档 Filecoin Testnet Mining 荷花 Lotus是Filecoin分布式存储网络的实现.可以运行lotus客户端来加入filecoin 测试网. 有关Fi ...
【每日早报】2019/12/17
✦ 联想控股回应柳传志卸任董事长传闻:以公司公告为准 ✦ 花呗宣布为春运补贴10亿元,购买春运火车票可分期免息 ✦ 国内首家千亿酒企诞生:李保芳透露茅台今年销量已过千亿元 ✦ 我国快递年业务量突破60 ...
CVPR 2019 | 百度17篇论文入选，AI巨头都在关注什么？（附论文下载）
授权自AI科技大本营(ID:rgznai100) 本文共6400字,建议阅读10+分钟. 本文整理了百度入选CVPR的17篇论文的内容及应用场景. 计算机视觉和模式识别大会CVPR 2019即将于6月 ...
2020.12.17
2020.12.17 1.无重复字符的最长子串(leetcode3) 思路:使用滑动窗口机制设置右指针移动,其实就是一个队列,比如例题中的 abcabcbb,进入这个队列(窗口)为 abc 满足题目 ...
DayDayUp：2019.12.30吴晓波2020年终秀演讲《预见2020：来海边，拾起信心》读后有感
DayDayUp:2019.12.30吴晓波2020年终秀演讲<预见2020:来海边,拾起信心>读后有感导读:2019年,过的好不好?有人豪情万丈,有人强颜欢笑. 互联网平台带来了方便快 ...
主成分分析（PCA）原理详解 2016/12/17 · IT技术 · 主成分分析, 数学分享到： 21 原文出处：中科春哥一、PCA简介 1. 相关背景主成分分析（Principa
主成分分析(PCA)原理详解 2016/12/17 · IT技术 · 主成分分析, 数学分享到:21 原文出处: 中科春哥一.PCA简介 1. 相关背景主成分分析(Principal Co ...
推荐开源代码2004/12/17
严正声明:本博客中的任何随笔.文章.图片等内容都不能私自转载,必须书面征得作者同意才能转载,并不能随意篡改,如要作出任何改动,必须书面征得作者同意方可,作者拥有一切权利并保留一切追究权利! 如果没有额 ...
训练日志 2019.1.17
上午补了补题,看了一会树状数组. 下午比赛的题基本是前三天的重现赛,除了之前的题基本都做出来以外,别的题就写出来一道 GCD 的逆推题,晚上补题比较轻松. 这几天总的来说还是感到跟别人的差距了,图论的 ...
java中int边界值_数组中重复的数字2019.12.06
记录一下,记录一下,记录一下,因为我的记忆好像只有10s 题目描述: 在一个长度为n的数组里面,所有元素的范围是[0,n-1],数组中可能存在某些数字是重复的,请判断是否有重复元素,如果有,找出来. ...
＜2012 12 17＞ “Kernel panic - not syncing” 问题的解决
<2012 12 17> "Kernel panic - not syncing" 问题的解决参考文章: (1)<2012 12 17> "Ke ...

2019-12-17

网络空间安全第二课

2019-12-17相关推荐

最新文章

热门文章