近日，Mimecast威脅中心的安全研究人員，發現了微軟Excel電子表格應用程序的一個新漏洞，獲致1.2億用戶易受網絡攻擊。其指出，該安全漏洞意味著攻擊者可以利用Excel的Power Query查詢工具，在電子表格上啟用遠程動態數據交換（DDE），並控制有效負載。此外，Power Query還能夠用於將惡意代碼嵌入數據源並進行傳播。

（圖自：Mimecast，via BetaNews）

Mimecast 表示，Power Query 提供了成熟而強大的功能，且可用於執行通常難以被檢測到的攻擊類型。

令人擔憂的是，攻擊者只需引誘受害者打開一個電子表格，即可發起遠程DDE 攻擊，而無需用戶執行任何進一步的操作或確認。

對於這項發現，Ofir Shlomo 在一篇博客文章中寫到：

Power Query 是一款功能強大且可擴展的商業智能（BI）工具，用戶可將其與電子表格或其它數據源集成，比如外部數據庫、文本文檔、其它電子表格或網頁等。

鏈接源時，可以加載數據、並將之保存到電子表格中，或者動態地加載（比如打開文檔時）。

Mimecast 威脅中心團隊發現，Power Query 還可用於發起復雜的、難以檢測的攻擊，這些攻擊結合了多個方面。

借助Power Query，攻擊者可以將惡意內容嵌入到單獨的數據源中，然後在打開時將內容加載到電子表格中，惡意代碼可用於刪除和執行可能危及用戶計算機的惡意軟件。

Power Query 提供瞭如何豐富的控件選項，即便在發送任何有效的負載之前，它也能夠用於採集受害者機器或沙箱指紋。

攻擊者俱有潛在的預有效負載和預開發控制，在向受害者傳播惡意負載同時，還能夠欺騙文件沙箱或其它安全解決方案，誤認為其是無害的。

作為協調漏洞披露（CVD）的一部分，Mimecast與微軟合作，來鑑定操作是否是Power Query的預期行為，以及相應的解決方案。

遺憾的是，微軟並沒有發布針對Power Query 的漏洞修復程序，而是提供一種解決方案來緩解此問題。