Inaktivera Office DDEAUTO för att lindra attacker

0
287

Det finns en sårbarhet i DDE i Office-program som för närvarande utnyttjas aktivt i det vilda. DDE, eller Dynamic Data Exchange, är en funktion av Microsoft Office som är utformad för att ge ansökningar möjlighet att utbyta data mellan varandra.

Du kan använda DDE exempelvis att uppdatera en tabell i ett Word-dokument med hjälp av Excel-data.

Protokollet används i stor utsträckning, inte bara på Microsoft Office-program som Word eller Excel, men även i Visual Basic och många fler.

Vad gör sårbarhet särskilt oroande är att det inte kräver makron. Den nuvarande vågen av attacker använder e-post för att distribuera riggade Office-dokument.

Användare som kör dessa handlingar få en varning frågor i Office. Ord som exempelvis visas varningen “det Här dokumentet innehåller länkar som kan hänvisa till andra filer. Vill du uppdatera detta dokument med data från den länkade filer”.

ddeauto word security

 

De flesta säkerhetsprogram upptäcka något hot när det gäller dessa Office-dokument. Samtidigt kan användarna skydda sina data genom att välja “nej” när de frågar visas, kanske du vill lägga till ett lager av skydd för detta för att skydda system oberoende av val användare gör när de stöter på dessa skadliga handlingar.

Självklart, detta är bara ett alternativ om DDE inte krävs i arbetsmiljön. Även om det verkar troligt att det är inte i de flesta hemmiljöer, företag kan fortfarande använda den och kan som sådan inte kan inaktivera funktionen helt och hållet.

Inaktivera DDEAuto är en registerfil som är kvar på GitHub som inaktiverar “uppdatera länkar” och “inbäddade filer” – funktionalitet i Office-dokument när du kör.

Det omfattar Word, Excel, WordMail, OneNote och Excel, och skriver eller redigerar Registret för att lägga till skydd. Observera att du kan aktivera skyddet manuellt samt i Office (som innehåller Registret nycklar till värden i Register-file).

Om du använder Microsoft Word 2016 eller Microsoft Excel-2016 till exempel, väljer du Val > Avancerade, och ta bort markeringen från “Uppdatera automatiska länkar vid öppna” är förtecknade enligt allmänna gruppen på sidan som öppnas.

Läs också: Microsoft släpper juli 2017 Icke-Security Office-uppdateringar

dde word

I Excel, du kanske också vill kolla “Ignorera andra program som använder DDE (Dynamic Data Exchange)”.

Koncernens Policy

Byt 2016 version av Excel eller Word med den version som installeras på de maskiner som du administrerar. Observera att du inte behöver installera ther

För Excel, kan du hitta det alternativ inom de Administrativa Mallar > Microsoft Excel 2016 > Excel-Alternativ > Avancerat.

  • Fråga vid uppdatering av automatiska länkar
  • Ignorera andra program

För Word-alternativ finns under Administrativa Mallar > Microsoft Word 2016 > Word-Alternativ > Avancerat.

  • Uppdatera automatiska länkar vid Öppna.

Registret

Här är listan över registernycklar för Word och Excel för din bekvämlighet. Kolla in GitHub-sidan om du vill hämta filerna i stället.

Observera att du kan behöva att skapa de värderingar som de inte kan finnas som standard:

Ordet 2016

  • Sökväg: HKEY_CURRENT_USERSoftwareMicrosoftOffice16.0WordOptions
  • Värde: DontUpdateLinks
  • Dword: 00000001
  • HKEY_CURRENT_USERSoftwareMicrosoftOffice16.0WordOptionsWordMail
  • Värde: DontUpdateLinks
  • Dword: 00000001

Word 2013

  • Sökväg: HKEY_CURRENT_USERSoftwareMicrosoftOffice15.0WordOptions
  • Värde: DontUpdateLinks
  • Dword: 00000001
  • HKEY_CURRENT_USERSoftwareMicrosoftOffice15.0WordOptionsWordMail
  • Värde: DontUpdateLinks
  • Dword: 00000001

Word 2010

  • Sökväg: HKEY_CURRENT_USERSoftwareMicrosoftOffice14.0WordOptions
  • Värde: DontUpdateLinks
  • Dword: 00000001
  • HKEY_CURRENT_USERSoftwareMicrosoftOffice15.0WordOptionsWordMail
  • Värde: DontUpdateLinks
  • Dword: 00000001

Excel-2016

  • Sökväg: HKEY_CURRENT_USERSoftwareMicrosoftOffice16.0ExcelOptions
  • Värde: DontUpdateLinks
  • Dword: 00000001
  • Sökväg: HKEY_CURRENT_USERSoftwareMicrosoftOffice16.0ExcelOptions
  • Värde: DDEAllowed
  • Dword: 00000000
  • Sökväg: HKEY_CURRENT_USERSoftwareMicrosoftOffice16.0ExcelOptions
  • Värde: DDECleaned
  • Dword: 00000001

Excel 2013

  • Sökväg: HKEY_CURRENT_USERSoftwareMicrosoftOffice15.0ExcelOptions
  • Värde: DontUpdateLinks
  • Dword: 00000001
  • Sökväg: HKEY_CURRENT_USERSoftwareMicrosoftOffice15.0ExcelOptions
  • Värde: DDEAllowed
  • Dword: 00000000
  • Sökväg: HKEY_CURRENT_USERSoftwareMicrosoftOffice15.0ExcelOptions
  • Värde: DDECleaned
  • Dword: 00000001

Obs: nedanstående värde enligt uppgift fungerar inte. Jag har inte tillgång till Excel 2013 eller 2010, och kunde inte hitta någon information om värdet.

  • Sökväg: HKEY_CURRENT_USERSoftwareMicrosoftOffice15.0ExcelOptions
  • Värde: Val
  • Dword: 00000117

Excel 2010

  • Sökväg: HKEY_CURRENT_USERSoftwareMicrosoftOffice14.0ExcelOptions
  • Värde: DontUpdateLinks
  • Dword: 00000001
  • Sökväg: HKEY_CURRENT_USERSoftwareMicrosoftOffice14.0ExcelOptions
  • Värde: DDEAllowed
  • Dword: 00000000
  • Sökväg: HKEY_CURRENT_USERSoftwareMicrosoftOffice14.0ExcelOptions
  • Värde: DDECleaned
  • Dword: 00000001

Obs: nedanstående värde enligt uppgift fungerar inte. Jag har inte tillgång till Excel 2013 eller 2010, och kunde inte hitta någon information om värdet.

  • Sökväg: HKEY_CURRENT_USERSoftwareMicrosoftOffice14.0ExcelOptions
  • Värde: Val
  • Dword: 00000117