Деактивирайте Office DDEAUTO за смекчаване на атаките

В момента има уязвимост в DDE приложенията на Office, които се експлоатират активно в природата. DDE, или динамичният обмен на данни, е функция на Microsoft Office, която е предназначена да даде на приложенията възможност за обмен на данни помежду си.

Можете да използвате DDE например, за да актуализирате таблица в документ на Word, използвайки данни на Excel.



Протоколът се използва широко не само в приложения на Microsoft Office като Word или Excel, но и във Visual Basic и много други.

Това, което прави уязвимостта особено притеснителна е, че тя не изисква макроси. Настоящата вълна от атаки използва имейл за разпространение на манипулирани документи в Office.

Потребители, които управляват тези документи GET предупредителни подкани в Office. Word например показва предупреждението „Този ​​документ съдържа връзки, които могат да се отнасят до други файлове. Искате ли да актуализирате този документ с данните от свързаните файлове “.

ddeauto word security

Повечето приложения за сигурност не откриват заплаха, когато става въпрос за тези документи на Office. Въпреки че потребителите могат да защитят своите данни, като изберат „не“, когато се показват подканите, можете да добавите слой за защита към това, за да защитите системите, независимо от избора, който потребителите правят, когато се натъкнат на тези злонамерени документи.



Очевидно това е само опция, ако DDE не се изисква в работната среда. Въпреки че изглежда вероятно, че не е в повечето домашни среди, компаниите все още могат да го използват и като такъв може да не могат да деактивират функцията изцяло.

Disable DDEAuto е файл в системния регистър, който се поддържа на GitHub което деактивира функциите за „актуализиране на връзки“ и „вградени файлове“ в документите на Office при стартиране.

Той обхваща Word, Excel, WordMail, OneNote и Excel и записва или редактира ключове от системния регистър, за да добави защитата. Обърнете внимание, че можете да активирате защитата ръчно, както и в Office (което задава ключовете на регистъра на стойностите на файла на системния регистър).

Ако например използвате Microsoft Word 2016 или Microsoft Excel 2016, изберете Опции> Разширени и премахнете отметката от „Актуализиране на автоматични връзки при отваряне“, посочени в общата група на страницата, която се отваря.

dde word

В Excel може също да искате да поставите отметка в „Игнорирайте други приложения, които използват динамична обмяна на данни (DDE)“.



Групова политика

Заменете версията на Excel или Word за 2016 г. с версията, инсталирана на машините, които администрирате. Обърнете внимание, че трябва да инсталирате ther

За Excel намирате опциите в Административни шаблони> Microsoft Excel 2016> Опции на Excel> Разширени.

  • Помолете да актуализирате автоматични връзки
  • Игнорирайте други приложения

За Word, опциите са разположени под Административни шаблони> Microsoft Word 2016> Word Options> Advanced.

  • Актуализирайте автоматичните връзки на Open.

регистратура

Ето списъка с ключове от системния регистър за Word и Excel за ваше удобство. Вижте страницата на GitHub, ако искате вместо това да изтеглите файла на системния регистър.

Имайте предвид, че може да се наложи да създадете стойностите, тъй като те може да не съществуват по подразбиране:

Word 2016

  • Път: HKEY_CURRENT_USER Софтуер Microsoft Office 16.0 Word Опции
  • Стойност: DontUpdateLinks
  • Двор: 00000001
  • HKEY_CURRENT_USER Software Microsoft Office 16.0 Word Options WordMail
  • Стойност: DontUpdateLinks
  • Двор: 00000001

Word 2013

  • Път: HKEY_CURRENT_USER Софтуер Microsoft Office 15.0 Word Опции
  • Стойност: DontUpdateLinks
  • Двор: 00000001
  • HKEY_CURRENT_USER Software Microsoft Office 15.0 Word Options WordMail
  • Стойност: DontUpdateLinks
  • Двор: 00000001

Word 2010

  • Път: HKEY_CURRENT_USER Софтуер Microsoft Office 14.0 Word Опции
  • Стойност: DontUpdateLinks
  • Двор: 00000001
  • HKEY_CURRENT_USER Software Microsoft Office 15.0 Word Options WordMail
  • Стойност: DontUpdateLinks
  • Двор: 00000001

Excel 2016

  • Път: HKEY_CURRENT_USER Софтуер Microsoft Office 16.0 Excel Опции
  • Стойност: DontUpdateLinks
  • Двор: 00000001
  • Път: HKEY_CURRENT_USER Софтуер Microsoft Office 16.0 Excel Опции
  • Стойност: Разрешено DDEA
  • Двор: 00000000
  • Път: HKEY_CURRENT_USER Софтуер Microsoft Office 16.0 Excel Опции
  • Стойност: DDECleaned
  • Двор: 00000001

Excel 2013

  • Път: HKEY_CURRENT_USER Софтуер Microsoft Office 15.0 Excel Опции
  • Стойност: DontUpdateLinks
  • Двор: 00000001
  • Път: HKEY_CURRENT_USER Софтуер Microsoft Office 15.0 Excel Опции
  • Стойност: Разрешено DDEA
  • Двор: 00000000
  • Път: HKEY_CURRENT_USER Софтуер Microsoft Office 15.0 Excel Опции
  • Стойност: DDECleaned
  • Двор: 00000001

Забележка: Докладът по-долу не работи. Нямам достъп до Excel 2013 или 2010 и не можах да намеря информация за стойността.

  • Път: HKEY_CURRENT_USER Софтуер Microsoft Office 15.0 Excel Опции
  • Стойност: Опции
  • Двор: 00000117

Excel 2010

  • Път: HKEY_CURRENT_USER Софтуер Microsoft Office 14.0 Excel Опции
  • Стойност: DontUpdateLinks
  • Двор: 00000001
  • Път: HKEY_CURRENT_USER Софтуер Microsoft Office 14.0 Excel Опции
  • Стойност: Разрешено DDEA
  • Двор: 00000000
  • Път: HKEY_CURRENT_USER Софтуер Microsoft Office 14.0 Excel Опции
  • Стойност: DDECleaned
  • Двор: 00000001

Забележка: Докладът по-долу не работи. Нямам достъп до Excel 2013 или 2010 и не можах да намеря информация за стойността.

  • Път: HKEY_CURRENT_USER Софтуер Microsoft Office 14.0 Excel Опции
  • Стойност: Опции
  • Двор: 00000117

Някой в ​​коментарите заяви, че правилната стойност е 279 вместо 117. Опитайте това и вижте дали работи.