ユーザーが他のリソースからデータを取得できる Excel の電源クエリ機能は、ハッカーによって操作できます。この抜け穴を利用すると、ハッカーはパワー クエリを使用して、Excel スプレッドシートで動的データ交換 (DDE) 攻撃を開始できます。それだけでなく、この脆弱性により、ハッカーはさまざまな種類のマルウェアを引き起こす可能性のあるより重大な攻撃を開始し、スプレッドシートを開くとすぐにユーザーのマシンを簡単に侵害する可能性があります。
この機能を使用すると、ハッカーはペイロードを配信する前に被害者のマシンを制御できます。ハッカーは、悪意のあるペイロードを被害者やその他のセキュリティソリューションに無害に見せることができます。
このわいせつについての良いニュース
良いことは、マイクロソフトはこの抜け穴について知っていて、2017をリリースしたことです。このアドバイザリでは、マルウェアをシステムにインストールする前に、ユーザーがさまざまなセキュリティ警告を通過する必要があることを誘導しました。また、外部データ接続をブロックできるように、必要でない場合は DDE 機能を無効にするようユーザーに勧めました。
脅威とマイクロソフトユーザーのリスクが現実のものであるため、マイクロソフトが提案したすべてのことを実装することを強くお勧めします。
この脆弱性に関する肯定的な点は、この抜け穴によるシステム障害や悪意のある攻撃に関する報告がないことです。
しかし、悪いニュースは、DDE機能は通常デフォルトで有効にされ、ユーザーは通常それをオフにしないということです。
データセキュリティはユーザーに依存するようになりました
マイクロソフトはユーザーに対するアドバイザリをリリースしましたが、すべてのユーザーが指示に従うか、DDE 機能を無効にする可能性はほとんどありません。
Microsoft はユーザーに適切な操作を行うことを完全に頼っていますが、データを保護する最も賢明なことの 1 つは、DDE 機能を無効にして、電子メールで送信されたスプレッドシートをダウンロードまたは開かないようにすることです。そして最後に、 Microsoft Excel のセキュリティ警告には、知らない悪意のあるマルウェアが含まれている可能性があるため、深刻な対策が必要です。だから、それは後悔するよりも安全である方が良いので、悪意のあるコンテンツの小さなヒントを与える任意のシートをダウンロードしない方が良いです。
写真: ローピクセル