当前位置:安全资讯 >> 全文

微软禁用Word DDE功能阻止后续恶意软件攻击

发布时间:2017-12-18 10:23 标签: DDE,微软
分享到 0

继多次恶意软件活动滥用 DDE 功能安装恶意软件后,微软在12月份的“补丁星期二”中禁用该功能。

DDE 即“动态数据交换”,它能让一个 Office 应用从其它 Office 应用中加载数据。例如,一个 Word 文件可在每次打开 Word 文件后从 Excel 文件中提取数据。DDE 功能存在已久,微软已以 OLE 工具集将其取而代之,不过仍受 Office 应用支持。

DDE 功能遭利用安装恶意软件

201710月,SensePost 公司的研究人员公布了一份关于 DDE 功能如何可被滥用于传播恶意软件的教程。

即便早在20世纪90年代,DDE 功能已被滥用于传播恶意软件,但该教程中公布的新方法快速遭恶意软件传播者的采纳,首先是专门攻击金融机构的FIN7 黑客组织、其次是普通恶意软件的传播者都在使用这种新方法。

当时,微软并不认为 DDE Office 套件中的一个漏洞,只是表示它是另外一个被滥用于传播恶意软件的合法功能。微软之所以认为是一个安全问题的原因在于,Office 会在打开文件前发出警告信息。而这不过是恶意软件作者发现的另外一种具有创造性地利用合法功能的案例,就跟在打开OLE和宏时,微软提前告警用户那样。

禁用 DDE

随着利用 DDE 技术的新型活动开始大规模扩散,微软的安全团队开始转变想法。

第一个迹象就是微软在10月中旬推出安全公告4053440,详细说明了用户如何禁用 Office 应用(如WordOutlookExcel)中的 DDE 功能。

12月份的“补丁星期二”中,微软在“深入防御Office 更新ADV170021”中直接禁用了Word 中的DDE 功能。这次更新新增了一个Windows注册表键,用来控制Word应用的 DDE 功能状态。默认的值禁用DDE。如果用户需要重新启用DDE,可使用如下注册表键值。

1.     从“注册表编辑器”导航到 \HKEY_CURRENT_USER\Software\Microsoft\Office\version\Word\SecurityAllowDDE(DWORD)

2.     基于要求设置 DWORD 值,如下:

AllowDDE(DWORD) = 0: 禁用 DDE,这是安装更新后的默认设置。

AllowDDE(DWORD) = 1: 允许对已运行程序的 DDE 请求,但阻止要求启动另外一个可执行程序的 DDE 请求。

AllowDDE(DWORD) = 2: 完全允许 DDE 请求。

因为微软如此关注 DDE 最近遭滥用的情况,所以 ADV170021 中也包含了对官方不再支持的 Word 2003 Word 2007的更新。微软还指出,很多用户和企业仍然会使用这两个不受支持的版本,为此专门推出带外紧急修复。

微软也将继续支持 Excel Outlook 中的 DDE 功能,该功能默认开启。微软建议用户认真阅读安全公告4053440,它详细介绍了通过 GUI 选项或 Windows 注册修改禁用 DDE 支持的方法。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.bleepingcomputer.com/news/microsoft/microsoft-disables-dde-feature-in-word-to-prevent-further-malware-attacks/
参与讨论,请先 登录 | 注册

用户评论