Désactiver l’Office DDEAUTO à atténuer les attaques

0
362

Il existe une vulnérabilité dans les DDE dans les applications de Bureau actuellement qui est exploitée activement dans la nature. DDE, ou l’Échange Dynamique de Données, est une fonctionnalité de Microsoft Office, qui est conçu pour donner à des applications, la capacité à échanger des données entre les uns des autres.

Vous pouvez utiliser DDE par exemple pour mettre à jour un tableau dans un document Word à l’aide de données Excel.

Le protocole est largement utilisé, non seulement dans les applications Microsoft Office, tels que Word ou Excel, mais aussi dans Visual Basic et beaucoup plus.

Ce qui fait la vulnérabilité particulièrement inquiétant, c’est qu’il ne nécessite pas de macros. La vague actuelle de l’attaque utilise le courriel pour distribuer manipulé les documents Office.

Les utilisateurs qui exécutent ces documents obtenez des messages d’avertissement dans le Bureau. Word par exemple affiche l’avertissement “Ce document contient des liens qui peuvent se rapporter à d’autres fichiers. Vous souhaitez mettre à jour ce document avec les données des fichiers liés”.

ddeauto word security

 

La plupart des applications de sécurité détecte aucune menace quand il s’agit de ces documents Office. Alors que les utilisateurs peuvent protéger leurs données en sélectionnant “non” lorsque les instructions sont affichées, vous pouvez ajouter une couche de protection pour protéger les systèmes quel que soit le choix qu’ils peuvent faire lorsqu’ils rencontrent ces les documents malveillants.

Évidemment, ce n’est qu’une option si le DDE n’est pas nécessaire dans l’environnement de travail. Bien qu’il semble probable qu’il n’est pas dans la plupart des environnements, les entreprises peuvent toujours l’utiliser et en tant que telle ne peut pas être en mesure de désactiver la fonctionnalité entièrement.

Désactiver DDEAuto est un fichier de Registre qui est conservé sur GitHub qui désactive la “mise à jour des liens” et “embedded” fichiers de la fonctionnalité dans les documents Office lors de l’exécuter.

Il couvre Word, Excel, WordMail, OneNote et Excel, et écrit des modifications ou des clés de Registre pour ajouter la protection. Notez que vous pouvez activer la protection manuellement dans le Bureau (qui fixe les clés de Registre pour les valeurs du fichier de Registre).

Si vous utilisez Microsoft Word 2016 ou Microsoft Excel 2016 par exemple, vous sélectionnez Options > Avancé et décochez la case “mise à Jour des liaisons à l’ouverture” est inscrit dans le cadre général de groupe sur la page qui s’ouvre.

Lire aussi: Microsoft publie en juillet 2017 Non-Bureau de la Sécurité des mises à jour

dde word

Dans Excel, vous pouvez également cocher la case “Ignorer les autres applications qui utilisent l’Échange Dynamique de Données (DDE)”.

La Stratégie De Groupe

Remplacer l’2016 version d’Excel ou de Word avec la version installée sur les machines vous administrer. Notez que vous devez installer ther

Pour Excel, vous trouverez les options en vertu de Modèles d’Administration > Microsoft Excel 2016 > Options Excel > options Avancées.

  • Demander la mise à jour automatique des liens
  • Ignorer les autres applications

Pour Word, les options sont situés dans Modèles d’Administration > Microsoft Word 2016 > Options Word > options Avancées.

  • Mise à jour des liaisons à l’ouverture.

Registre

Voici la liste des clés de Registre pour Word et Excel pour votre commodité. Découvrez la page GitHub si vous voulez télécharger le fichier de Registre à la place.

Notez que vous devrez peut-être créer les valeurs qu’ils peuvent ne pas exister par défaut:

Mot 2016

  • Chemin d’accès: HKEY_CURRENT_USERSoftwareMicrosoftOffice16.0WordOptions
  • Valeur: DontUpdateLinks
  • Dword: 00000001
  • HKEY_CURRENT_USERSoftwareMicrosoftOffice16.0WordOptionsWordMail
  • Valeur: DontUpdateLinks
  • Dword: 00000001

Word 2013

  • Chemin d’accès: HKEY_CURRENT_USERSoftwareMicrosoftOffice15.0WordOptions
  • Valeur: DontUpdateLinks
  • Dword: 00000001
  • HKEY_CURRENT_USERSoftwareMicrosoftOffice15.0WordOptionsWordMail
  • Valeur: DontUpdateLinks
  • Dword: 00000001

Word 2010

  • Chemin d’accès: HKEY_CURRENT_USERSoftwareMicrosoftOffice14.0WordOptions
  • Valeur: DontUpdateLinks
  • Dword: 00000001
  • HKEY_CURRENT_USERSoftwareMicrosoftOffice15.0WordOptionsWordMail
  • Valeur: DontUpdateLinks
  • Dword: 00000001

Excel 2016

  • Chemin d’accès: HKEY_CURRENT_USERSoftwareMicrosoftOffice16.0ExcelOptions
  • Valeur: DontUpdateLinks
  • Dword: 00000001
  • Chemin d’accès: HKEY_CURRENT_USERSoftwareMicrosoftOffice16.0ExcelOptions
  • Valeur: DDEAllowed
  • Dword: 00000000
  • Chemin d’accès: HKEY_CURRENT_USERSoftwareMicrosoftOffice16.0ExcelOptions
  • Valeur: DDECleaned
  • Dword: 00000001

Excel 2013

  • Chemin d’accès: HKEY_CURRENT_USERSoftwareMicrosoftOffice15.0ExcelOptions
  • Valeur: DontUpdateLinks
  • Dword: 00000001
  • Chemin d’accès: HKEY_CURRENT_USERSoftwareMicrosoftOffice15.0ExcelOptions
  • Valeur: DDEAllowed
  • Dword: 00000000
  • Chemin d’accès: HKEY_CURRENT_USERSoftwareMicrosoftOffice15.0ExcelOptions
  • Valeur: DDECleaned
  • Dword: 00000001

Remarque: Le dessous de la valeur apparemment ne fonctionne pas. Je n’ai pas accès à Excel 2013 ou 2010, et n’a pu trouver aucune information sur la valeur.

  • Chemin d’accès: HKEY_CURRENT_USERSoftwareMicrosoftOffice15.0ExcelOptions
  • Valeur: Options De
  • Dword: 00000117

Excel 2010

  • Chemin d’accès: HKEY_CURRENT_USERSoftwareMicrosoftOffice14.0ExcelOptions
  • Valeur: DontUpdateLinks
  • Dword: 00000001
  • Chemin d’accès: HKEY_CURRENT_USERSoftwareMicrosoftOffice14.0ExcelOptions
  • Valeur: DDEAllowed
  • Dword: 00000000
  • Chemin d’accès: HKEY_CURRENT_USERSoftwareMicrosoftOffice14.0ExcelOptions
  • Valeur: DDECleaned
  • Dword: 00000001

Remarque: Le dessous de la valeur apparemment ne fonctionne pas. Je n’ai pas accès à Excel 2013 ou 2010, et n’a pu trouver aucune information sur la valeur.

  • Chemin d’accès: HKEY_CURRENT_USERSoftwareMicrosoftOffice14.0ExcelOptions
  • Valeur: Options De
  • Dword: 00000117