PowerBI技巧之Excel 曝出 Power Query 安全漏洞，1.2 亿用户易受远程 DDE 攻击.pdfVIP

攻击者只需引诱受害者打开 一个电子表格，即可发起远程 DDE 攻击，而无需用户执行任 进一步的操作或确认。 作者/来源：安华金和 近日，Mimecast 威胁中心的安全研究人员，发现了微软 Excel 电子表格应用程序的一个新漏洞，获致 1.2 亿用 户易受网络攻击。其指出，该安全漏洞意味着攻击者可以利用 Excel 的 Power Query 查询工具，在电子表格上 启用远程动态数据交换 （DDE），并控制有效负载。此外，Power Query 还能够用于将恶意代码嵌入数据源并 进行传播。 （图自：Mimecast，via BetaNews） Mimecast 表示，Power Query 提供了成熟而强大的功能，且可用于执行通常难以被检测到的攻击类型。 令人担忧的是，攻击者只需引诱受害者打开一个电子表格，即可发起远程 DDE 攻击，而无需用户执行任 进一 步的操作或确认。 对于这项发现，Ofir Shlomo 在一篇博客文章中写到：Power Query 是一款功能强大且可扩展的商业智能 （B ） 工具，用户可将其与电子表格或其它数据源集成，比如外部数据库、文本文档、其它电子表格或网页等。链接 源时，可以加载数据、并将之保存到电子表格中，或者动态地加载 （比如打开文档时）。 Mimecast 威胁中心团队发现，Power Query 还可用于发起复杂的、难以检测的攻击，这些攻击结合了多个方 面。 借助 Power Query，攻击者可以将恶意内容嵌入到单独的数据源中，然后在打开时将内容加载到电子表格中， 恶意代码可用于删除和执行可能危及用户计算机的恶意软件。 作为协调漏洞披露 （CVD）的一部分，Mimecast 与微软合作，来鉴定操作是否是 Power Query 的预期行为， 以及相应的解决方案。 遗憾的是，微软并没有发布针对 Power Query 的漏洞修复程序，而是提供一种解决方案来缓解此问题。 来源：cnBeta.COM 更多资讯 苹果安全主管将出席黑帽大会 详解 iOS 13 和 macOS 安全性 苹果安全工程主管 van Krstic 将出席 8 月 8 日举行的黑帽安全大会，谈论 iOS 13 和 macOS Catalina 幕后的 安全技术，以及全新查找 App 的工作原理。van Krstic 将带来 50 分钟的演讲 《iOS 和 Mac 安全性幕后的故 事》，这也将是苹果首次公开介绍 iOS 13 和 Mac 关键安全技术。 来源：MacX 详情： /zx2.html 路透社：五眼联盟曾对Yandex研发部门发起渗透 欲监视用户账户信息 路透社报道称，为西方情报机构工作的黑客，曾在 2018 年底侵入了俄罗斯互联网巨头 Yandex 的网络，并部署 了一款罕见的恶意软件，企图对用户账户展开监视。其援引四位知情人士的话称，这款恶意软件名叫 Regin，被 美国、英国、澳大利亚、新西兰和加拿大的“五眼”情报联盟所分享。对于此事，上述国家的情报机构均未予置 评。 来源：cnBeta.COM 详情： /zx3.html 海淀法院集中宣判搜狗输入法劫持三大搜索引擎流量不正当竞争案 6月27 日，海淀法院对奇虎公司、百度公司，以及动景公司和神马公司因搜狗输入法通过搜索候选词为搜狗搜索 导流量分别起诉搜狗公司等不正当竞争纠纷三案集中宣判。 来源：财经网 详情： /zx4.html AWS S3服务器泄露了财富100强企业的数据：福特，Netflix，TD银行 Attunity是一家为全球最大公司提供数据管理，仓储和复制服务的以色列T公司，它在没有密码的情况下将三个 Amazon S3存储桶暴露在互联网上之后，暴露了一些客户的数据。 来源：ZDNet 详情： /zx5.html （信息来源于网络，安华金和搜集整理）