Microsoft відключила вразливу функцію DDE в Word


Дізнайтесь більше про нові кар'єрні можливості в EchoUA. Цікаві проекти, ринкова оплата, гарний колектив. Надсилайте резюме та приєднуйтеся до нас.

DDE (Dynamic Data Exchange) – це функція динамічного обміну даними між Office-додатками. Наприклад, документ Word може при відкритті автоматично оновлювати таблицю, використовуючи дані з документа Excel. Попри те, що через уразливість DDE ще в 1990-х років поширювалися трояни, компанія Microsoft до останнього часу дотримувалася позиції, що DDE сама по собі не є вразливою і це просто ще одна скомпрометована функція.

Проте після серії атак, у яких динамічний обмін даними був використаний декількома зловмисниками для установки шкідливого ПЗ, компанія змінила свою думку. У жовтні 2017 року група дослідників інтернет-безпеки SensePost опублікувала інструкцію про те, як динамічний обмін даними може бути використаний зловмисниками. Нові методи були швидко підхоплені розповсюджувачами шкідливого ПЗ: спочатку групою хакерів FIN7, які здійснювали атаки на фінансові установи, а потім іншими.

Перший крок до відключення

Причиною, через яку Microsoft не пов’язувала DDE-атаки з питаннями безпеки, було те, що додатки Office показували попередження перед відкриттям файлів. У результаті виявилось, що автори вірусів у черговий раз знайшли креативний спосіб скомпрометувати “законослухняну” функцію. Це вже було зроблено з OLE і макросами, про які Microsoft також виводить попередження перед запуском.

Першим кроком до припинення використання функції стало те, що в середині жовтня компанія опублікувала поради з безпеки 4053440. У них були викладені деталі того, як користувачі можуть самостійно відключити DDE в таких додатках Office,  як Word, Outlook і Excel.

Microsoft прийняла рішення

Попереднього тижня Microsoft впровадила радикальні заходи – випустила оновлення, яким повністю відключила використання DDE в додатку Word. Зміна набуває чинності після установки пакета Office Defense Depth Update ADV170021. Це оновлення додає новий ключ реєстру для контролю статусу DDE. За умовчанням функція відключена. Нижче наведені можливі значення для ключа реєстру:

1. У редакторові реєстру перейдіть у теку HKEY_CURRENT_USER Software Microsoft Office version Word Security AllowDDE (DWORD) 2. Задайте значення DWORD відповідно до вимог таким чином:

AllowDDE (DWORD) = 0: відключити DDE. Це значення використовується за умовчанням після установки оновлення. AllowDDE (DWORD) = 1: дозволити DDE-запити до вже запущеної програми, але заборонити DDE-запити, для яких потрібен запуск іншої виконуваної програми. AllowDDE (DWORD) = 2: повністю дозволити DDE-запити.

DDE в інших продуктах Office

Microsoft приділила проблемі значну увагу. Компанія знає, що багато користувачів і підприємства дотепер використовують старіші версії Office, тому випустила екстрене оновлення і для них. Пакет ADV170021 включив оновлення для Word 2003 і Word 2007 – двох версій, підтримання яких вже офіційно зупинено.

Функція DDE продовжить використовуватися в Excel і Outlook. У цих програмах DDE за умовчанням буде активною. Microsoft радить користувачам ознайомитися з рекомендаціями з безпеки Security Advisory 4053440, де детально описані методи відключення підтримки DDE як через графічний інтерфейс, так і за допомогою зміни ключа реєстру.

Джерело: Bleeping Computer

Київ, Харків, Одеса, Дніпро, Запоріжжя, Кривий Ріг, Вінниця, Херсон, Черкаси, Житомир, Хмельницький, Чернівці, Рівне, Івано-Франківськ, Кременчук, Тернопіль, Луцьк, Ужгород, Кам'янець-Подільський, Стрий - за статистикою саме з цих міст програмісти найбільше переїжджають працювати до Львова. А Ви розглядаєте relocate?


Коментарі 1

  • Хакери – це дійсно креативні люди, мені здається вони можуть зламати будь-яку систему, варто тільки задатися метою!!! Дивно, що так багато часу знадобилося для визначення проблеми з DDE. Добре, що Microsoft приділила цій проблемі увагу і випустила оновлення для всіх версій програми. Сподіваюся що це трохи убезпечить користувачів Microsoft Office!!!

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *