Deaktiver Office DDEAUTO for å dempe angrep

Det er en sårbarhet i DDE i Office-applikasjoner for tiden som utnyttes aktivt i naturen. DDE, eller Dynamic Data Exchange, er en funksjon i Microsoft Office som er designet for å gi applikasjoner muligheten til å utveksle data mellom hverandre.

Du kan for eksempel bruke DDE til å oppdatere en tabell i et Word-dokument ved hjelp av Excel-data.

Protokollen er mye brukt, ikke bare i Microsoft Office-applikasjoner som Word eller Excel, men også i Visual Basic og mange flere.

Det som gjør sårbarheten spesielt bekymringsfull, er at den ikke krever makroer. Den nåværende angrepsbølgen bruker e-post for å distribuere manipulerte Office-dokumenter.

Brukere som kjører disse dokumentene advarsler i Office. Word viser for eksempel advarselen 'Dette dokumentet inneholder koblinger som kan referere til andre filer. Ønsker du å oppdatere dette dokumentet med dataene fra de koblede filene.

ddeauto word security

De fleste sikkerhetsapplikasjoner oppdager ingen trussel når det gjelder disse Office-dokumentene. Selv om brukere kan beskytte dataene sine ved å velge 'nei' når instruksjonene vises, kan det være lurt å legge til et lag med beskyttelse for å beskytte systemer uavhengig av valg brukerne tar når de støter på disse ondsinnede dokumentene.

Selvfølgelig er dette bare et alternativ hvis ikke DDE er påkrevd i arbeidsmiljøet. Selv om det virker som om det ikke er i de fleste hjemmemiljøer, kan det hende at selskaper fortsatt bruker den, og som sådan ikke kan være i stand til å deaktivere funksjonen helt.

Deaktiver DDEAuto er en registerfil som vedlikeholdes på GitHub som deaktiverer funksjonen 'oppdateringslenker' og 'innebygde filer' i Office-dokumenter når de kjøres.

Den dekker Word, Excel, WordMail, OneNote og Excel, og skriver eller redigerer registernøkler for å legge til beskyttelsen. Merk at du også kan aktivere beskyttelsen manuelt i Office (som angir registernøklene til verdiene til registerfilen).

Hvis du for eksempel bruker Microsoft Word 2016 eller Microsoft Excel 2016, velger du Valg> Avansert og fjerner avmerkingen fra 'Oppdater automatiske lenker ved åpen' som er oppført under den generelle gruppen på siden som åpnes.

dde word

I Excel kan det også være lurt å merke av 'Ignorer andre applikasjoner som bruker Dynamic Data Exchange (DDE)'.

Gruppepolitikk

Bytt ut 2016-versjonen av Excel eller Word med den versjonen som er installert på maskinene du administrerer. Merk at du trenger å installere det

For Excel finner du alternativene under Administrative maler> Microsoft Excel 2016> Excel-alternativer> Avansert.

  • Be om å oppdatere automatiske lenker
  • Ignorer andre applikasjoner

For Word ligger alternativene under Administrative maler> Microsoft Word 2016> Wordalternativer> Avansert.

  • Oppdater automatiske lenker på Open.

Registry

Her er listen over registernøkler for Word og Excel for enkelhets skyld. Sjekk ut GitHub-siden hvis du vil laste ned registerfilen i stedet.

Legg merke til at du kanskje trenger å opprette verdiene, da de kanskje ikke eksisterer som standard:

Word 2016

  • Sti: HKEY_CURRENT_USER Programvare Microsoft Office 16.0 Word Alternativer
  • Verdi: DontUpdateLinks
  • Dword: 00000001
  • HKEY_CURRENT_USER Software Microsoft Office 16.0 Word Options Wordmail
  • Verdi: DontUpdateLinks
  • Dword: 00000001

Word 2013

  • Sti: HKEY_CURRENT_USER Programvare Microsoft Office 15.0 Word Alternativer
  • Verdi: DontUpdateLinks
  • Dword: 00000001
  • HKEY_CURRENT_USER Software Microsoft Office 15.0 Word Options Wordmail
  • Verdi: DontUpdateLinks
  • Dword: 00000001

Word 2010

  • Sti: HKEY_CURRENT_USER Programvare Microsoft Office 14.0 Word Alternativer
  • Verdi: DontUpdateLinks
  • Dword: 00000001
  • HKEY_CURRENT_USER Software Microsoft Office 15.0 Word Options Wordmail
  • Verdi: DontUpdateLinks
  • Dword: 00000001

Excel 2016

  • Sti: HKEY_CURRENT_USER Programvare Microsoft Office 16.0 Excel Alternativer
  • Verdi: DontUpdateLinks
  • Dword: 00000001
  • Sti: HKEY_CURRENT_USER Programvare Microsoft Office 16.0 Excel Alternativer
  • Verdi: DDEAllowed
  • Dword: 00000000
  • Sti: HKEY_CURRENT_USER Programvare Microsoft Office 16.0 Excel Alternativer
  • Verdi: DDECleaned
  • Dword: 00000001

Excel 2013

  • Sti: HKEY_CURRENT_USER Programvare Microsoft Office 15.0 Excel Alternativer
  • Verdi: DontUpdateLinks
  • Dword: 00000001
  • Sti: HKEY_CURRENT_USER Programvare Microsoft Office 15.0 Excel Alternativer
  • Verdi: DDEAllowed
  • Dword: 00000000
  • Sti: HKEY_CURRENT_USER Programvare Microsoft Office 15.0 Excel Alternativer
  • Verdi: DDECleaned
  • Dword: 00000001

Merk : Verdien nedenfor virker angivelig ikke. Jeg har ikke tilgang til Excel 2013 eller 2010, og kunne ikke finne noe informasjon om verdien.

  • Sti: HKEY_CURRENT_USER Programvare Microsoft Office 15.0 Excel Alternativer
  • Verdi: Alternativer
  • Dword: 00000117

Excel 2010

  • Sti: HKEY_CURRENT_USER Programvare Microsoft Office 14.0 Excel Alternativer
  • Verdi: DontUpdateLinks
  • Dword: 00000001
  • Sti: HKEY_CURRENT_USER Programvare Microsoft Office 14.0 Excel Alternativer
  • Verdi: DDEAllowed
  • Dword: 00000000
  • Sti: HKEY_CURRENT_USER Programvare Microsoft Office 14.0 Excel Alternativer
  • Verdi: DDECleaned
  • Dword: 00000001

Merk : Verdien nedenfor virker angivelig ikke. Jeg har ikke tilgang til Excel 2013 eller 2010, og kunne ikke finne noe informasjon om verdien.

  • Sti: HKEY_CURRENT_USER Programvare Microsoft Office 14.0 Excel Alternativer
  • Verdi: Alternativer
  • Dword: 00000117

Noen i kommentarene sa at riktig verdi er 279 i stedet for 117. Prøv det og se om det fungerer.