Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Übersicht
Dieser Artikel zur Sicherheitsempfehlung enthält Informationen zu Sicherheitseinstellungen für Microsoft Office-Anwendungen. Es enthält Anleitungen dazu, was Benutzer tun können, um sicherzustellen, dass diese Anwendungen bei der Verarbeitung von DDE-Feldern (Dynamic Data Exchange) ordnungsgemäß geschützt sind.
Informationen zum dynamischen Datenaustausch
Microsoft Office bietet mehrere Methoden zum Übertragen von Daten zwischen Anwendungen. Das DDE-Protokoll besteht aus einer Reihe von Nachrichten und Richtlinien. Es sendet Nachrichten zwischen Anwendungen, die Daten gemeinsam nutzen, und verwendet freigegebenen Speicher, um Daten zwischen Anwendungen auszutauschen. Anwendungen können das DDE-Protokoll für einmalige Datenübertragungen und für kontinuierlichen Austausch verwenden, bei dem Anwendungen einander Updates senden, sobald neue Daten verfügbar werden.
Szenario
In einem E-Mail-Angriffsszenario könnte ein Angreifer das DDE-Protokoll verwenden, indem er eine speziell gestaltete Datei an den Benutzer sendet und dann den Benutzer dazu verleitet, die Datei zu öffnen, in der Regel durch eine Verlockung in einer E-Mail. Der Angreifer müsste den Benutzer überzeugen, den geschützten Modus zu deaktivieren und eine oder mehrere zusätzliche Eingabeaufforderungen durchzuklicken. Da E-Mail-Anlagen eine primäre Methode sind, mit der ein Angreifer Schadsoftware verbreiten kann, empfiehlt Microsoft Kunden dringend, beim Öffnen verdächtiger Dateianlagen Vorsicht walten zu lassen.
DDE-Featuresteuerungsschlüssel
Microsoft Office bietet mehrere Featuresteuerungsschlüssel, die in der Registrierung gespeichert sind und für die Änderung der Produktfunktionalität, die Verbesserung der Unterstützung für Branchenstandards und die Verbesserung der Sicherheit verantwortlich sind. Microsoft hat diese Featuresteuerungsschlüssel dokumentiert und empfiehlt aus Sicherheitsgründen die Aktivierung bestimmter Featuresteuerungsschlüssel. Weitere Informationen finden Sie unter Sichern und Steuern des Zugriffs auf Office 2016.
Microsoft empfiehlt allen Benutzern von Microsoft Office dringend, die sicherheitsbezogenen Featuresteuerungsschlüssel zu überprüfen und sie zu aktivieren. Durch festlegen der in den folgenden Abschnitten beschriebenen Registrierungsschlüssel wird die automatische Aktualisierung von Daten aus verknüpften Feldern deaktiviert.
Mildernde DDE-Angriffsszenarien
Benutzer, die sofortige Maßnahmen ergreifen möchten, können sich schützen, indem sie Registrierungseinträge für Microsoft Office manuell erstellen und festlegen. Verwenden Sie die folgenden Anweisungen, um die Registrierungsschlüssel basierend auf den auf Ihrem System installierten Office-Anwendungen festzulegen.
Warnung
Wenn Sie registry Editor falsch verwenden, können schwerwiegende Probleme auftreten, die eine Neuinstallation des Betriebssystems erfordern. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Sie verwenden den Registrierungs-Editor auf eigene Verantwortung.
Microsoft Excel
Excel hängt vom DDE-Feature ab, um Dokumente zu starten.
Informationen zum Verhindern der automatischen Aktualisierung von Verknüpfungen aus Excel (einschließlich DDE, OLE und verweise auf externe Zellen oder definierte Namen) finden Sie in der folgenden Tabelle, in der die Versionszeichenfolge des Registrierungsschlüssels für jede Version festgelegt werden soll:
| Office-Version | Registrierungsschlüsselversionszeichenfolge <> |
|---|---|
| Office 2007 | 12.0 |
| Office 2010 | 14.0 |
| Office 2013 | 15.0 |
| Office 2016 | 16.0 |
So deaktivieren Sie das DDE-Feature über die Benutzeroberfläche:
WechselnSie zu Dateioptionen>>Trust Center>Trust Center Einstellungen>Externer Inhalt, und legen Sie Sicherheitseinstellungen für Arbeitsmappenlinks fest, um die automatische Aktualisierung von Arbeitsmappenlinks zu deaktivieren.
Um das DDE-Feature mithilfe der Registrierungs-Editor zu deaktivieren, fügen Sie den folgenden Registrierungsschlüssel hinzu:
Ort:
HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Excel\Security
Name: WorkbookLinkWarnings
Werttyp: DWORD
Wert: 2
Hinweis
Auswirkungen der Entschärfung:
Das Deaktivieren dieses Features könnte verhindern, dass Excel-Kalkulationstabellen dynamisch aktualisiert werden, wenn sie in der Registrierung deaktiviert sind. Die Daten sind möglicherweise nicht vollständig auf dem neuesten Stand, da sie nicht mehr automatisch über den Livefeed aktualisiert werden. Um das Arbeitsblatt zu aktualisieren, muss der Benutzer den Feed manuell starten. Darüber hinaus erhält der Benutzer keine Aufforderungen, das Arbeitsblatt manuell zu aktualisieren.
Microsoft Outlook
In der folgenden Tabelle finden Sie informationen zur Versionszeichenfolge des Registrierungsschlüssels, die für jede Office-Version festgelegt werden soll:
| Office-Version | Registrierungsschlüsselversionszeichenfolge <> |
|---|---|
| Office 2010 | 14.0 |
| Office 2013 | 15.0 |
| Office 2016 | 16.0 |
Fügen Sie für Office 2010 und höhere Versionen den folgenden Registrierungsschlüssel hinzu, um das DDE-Feature mithilfe der Registrierungs-Editor zu deaktivieren:
Ort:
HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Word\Options\WordMail
Name: DontUpdateLinks
Typ: DWORD
Wert: 1Fügen Sie für Office 2007 den folgenden Registrierungsschlüssel hinzu, um das DDE-Feature mithilfe der Registrierungs-Editor zu deaktivieren:
Ort:
HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref
Name: fNoCalclinksOnopen_90_1
Typ: DWORD
Wert: 1
Hinweis
Auswirkungen der Entschärfung:
Durch Festlegen dieses Registrierungsschlüssels wird die automatische Aktualisierung für DDE-Feld und OLE-Links deaktiviert. Benutzer können das Update weiterhin aktivieren, indem sie mit der rechten Maustaste auf das Feld klicken und "Feld aktualisieren" auswählen.
Microsoft Publisher
Ein Word Dokument, das das DDE-Protokoll verwendet, das in einem Herausgeberdokument eingebettet ist, kann ein möglicher Angriffsvektor sein. Sie können diesen Angriffsvektor verhindern, indem Sie die Änderung des Word Registrierungsschlüssels anwenden. Im folgenden Abschnitt finden Sie die werte für den Word Registrierungsschlüssel.
Microsoft Word
In der folgenden Tabelle finden Sie informationen zur Versionszeichenfolge des Registrierungsschlüssels, die für jede Office-Version festgelegt werden soll:
| Office-Version** | Registrierungsschlüsselversionszeichenfolge <> |
|---|---|
| Office 2010 | 14.0 |
| Office 2013 | 15.0 |
| Office 2016 | 16.0 |
Fügen Sie für Office 2010 und höhere Versionen den folgenden Registrierungsschlüssel hinzu, um das DDE-Feature mithilfe der Registrierungs-Editor zu deaktivieren:
Ort:
HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Word\Options
Name: DontUpdateLinks
Typ: DWORD
Wert: 1Fügen Sie für Office 2007 den folgenden Registrierungsschlüssel hinzu, um das DDE-Feature mithilfe der Registrierungs-Editor zu deaktivieren:
Ort:
HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref
Name: fNoCalclinksOnopen_90_1
Typ: DWORD
Wert: 1
Hinweis
Auswirkungen der Entschärfung:
Durch Festlegen dieses Registrierungsschlüssels wird die automatische Aktualisierung für DDE-Feld und OLE-Links deaktiviert. Benutzer können das Update weiterhin aktivieren, indem sie mit der rechten Maustaste auf das Feld klicken und "Feld aktualisieren" auswählen.
Informationen Windows 10 Fall Creator Update (Version 1709)
Benutzer des Windows 10 Fall Creator Update können Windows Defender Exploit Guard verwenden, um DDE-basierte Schadsoftware mit Attack Surface Reduction (ASR) zu blockieren.
Die Verringerung der Angriffsfläche ist eine Komponente in Windows Defender Exploit Guard, die Unternehmen mit einer Reihe integrierter Intelligenzen versorgt, die die zugrunde liegenden Verhaltensweisen blockieren können, die von schädlichen Dokumenten verwendet werden, um Angriffe auszuführen, ohne den Produktbetrieb zu beeinträchtigen. Durch das Blockieren schädlicher Verhaltensweisen, unabhängig davon, was die Bedrohung oder der Exploit ist, kann ASR Unternehmen vor nie zuvor aufgetretenen Zero-Day-Angriffen wie diesen kürzlich entdeckten Sicherheitsrisiken schützen: CVE-2017-8759, CVE-2017-11292 und CVE-2017-11826.
Für Office-Apps kann ASR:
- Blockieren der Erstellung ausführbarer Inhalte durch Office-Apps
- Blockieren des Startens eines untergeordneten Prozesses durch Office-Apps
- Blockieren der Einschleusung von Office-Apps in den Prozess
- Blockieren von Win32-Importen aus Makrocode in Office
- Blockieren von verschleiertem Makrocode
Neue Exploits wie DDEDownloader verwenden das DDE-Popup (Dynamic Data Exchange) in Office-Dokumenten, um einen PowerShell-Downloader auszuführen. Dabei wird jedoch ein untergeordneter Prozess gestartet, den die entsprechende Regel für untergeordnete Prozesse blockiert.
Weitere Informationen zu Windows Defender Exploit Guard finden Sie unter Windows Defender Exploit Guard: Reduzieren der Angriffsfläche gegen Schadsoftware der nächsten Generation.
Microsoft recherchiert dieses Problem weiter und wird weitere Informationen in diesem Artikel veröffentlichen, sobald die Informationen verfügbar sind.