Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Información general
En este artículo de asesoramiento de seguridad se proporciona información sobre la configuración de seguridad de las aplicaciones de Microsoft Office. Proporciona instrucciones sobre lo que los usuarios pueden hacer para asegurarse de que estas aplicaciones están protegidas correctamente al procesar campos de Intercambio dinámico de datos (DDE).
Acerca del intercambio dinámico de datos
Microsoft Office proporciona varios métodos para transferir datos entre aplicaciones. El protocolo DDE es un conjunto de mensajes y directrices. Envía mensajes entre aplicaciones que comparten datos y usa memoria compartida para intercambiar datos entre aplicaciones. Las aplicaciones pueden usar el protocolo DDE para transferencias de datos únicas y para intercambios continuos en los que las aplicaciones envían actualizaciones entre sí a medida que están disponibles nuevos datos.
Escenario
En un escenario de ataque por correo electrónico, un atacante podría usar el protocolo DDE mediante el envío de un archivo especialmente diseñado al usuario y, a continuación, convencer al usuario para que abra el archivo, normalmente a través de un intento en un correo electrónico. El atacante tendría que convencer al usuario de que deshabilite el modo protegido y haga clic en uno o más mensajes adicionales. Como los datos adjuntos de correo electrónico son un método principal que un atacante podría usar para propagar malware, Microsoft recomienda encarecidamente que los clientes extremen la precaución al abrir archivos adjuntos sospechosos.
Teclas de control de características de DDE
Microsoft Office proporciona varias claves de control de características que se almacenan en el Registro y son responsables de modificar la funcionalidad del producto, mejorar la compatibilidad con los estándares del sector y mejorar la seguridad. Microsoft ha documentado estas claves de control de características y recomienda habilitar claves de control de características específicas por motivos de seguridad. Para obtener más información, vea Proteger y controlar el acceso a Office 2016.
Microsoft recomienda encarecidamente a todos los usuarios de Microsoft Office que revisen las claves de control de características relacionadas con la seguridad y las habiliten. Al establecer las claves del Registro descritas en las secciones siguientes, se deshabilita la actualización automática de datos de campos vinculados.
Mitigación de escenarios de ataque DDE
Los usuarios que desean tomar medidas inmediatas pueden protegerse a sí mismos mediante la creación y configuración manual de entradas del Registro para Microsoft Office. Use las instrucciones siguientes para establecer las claves del Registro en función de las aplicaciones de Office instaladas en el sistema.
Advertencia
Si usa la Editor del Registro incorrectamente, podría causar problemas graves que podrían requerir la reinstalación del sistema operativo. Microsoft no le garantiza que pueda solucionar los problemas que sean consecuencia del uso incorrecto del Editor del Registro. Utilice el Editor del Registro bajo su responsabilidad.
Microsoft Excel
Excel depende de la característica DDE para iniciar documentos.
Para evitar la actualización automática de vínculos de Excel (incluidos DDE, OLE y referencias de celda externas o nombres definidos), consulte la tabla siguiente para ver la cadena de versión de la clave del Registro que se va a establecer para cada versión:
| Versión de Office | Cadena de versión> de clave <del Registro |
|---|---|
| Office 2007 | 12.0 |
| Office 2010 | 14.0 |
| Office 2013 | 15.0 |
| Office 2016 | 16.0 |
Para deshabilitar la característica DDE desde la interfaz de usuario:
Vaya aOpciones>de archivo> Configuración externadel Centro de confianza del>Centro> de confianza, establezca Configuración de seguridad para Vínculos de libro para Deshabilitar la actualización automática de vínculos de libro.
Para deshabilitar la característica DDE mediante la Editor del Registro, agregue la siguiente clave del Registro:
Ubicación:
HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Excel\Security
Nombre: WorkbookLinkWarnings
Tipo de valor: DWORD
Valor: 2
Nota:
Impacto de la mitigación:
Deshabilitar esta característica podría impedir que las hojas de cálculo de Excel se actualicen dinámicamente si están deshabilitadas en el Registro. Es posible que los datos no estén completamente actualizados porque ya no se actualizan automáticamente a través de la fuente en directo. Para actualizar la hoja de cálculo, el usuario debe iniciar la fuente manualmente. Además, el usuario no recibirá mensajes para recordarle que actualice manualmente la hoja de cálculo.
Microsoft Outlook
Consulte la tabla siguiente para ver la cadena de versión de la clave del Registro que se va a establecer para cada versión de Office:
| Versión de Office | Cadena de versión> de clave <del Registro |
|---|---|
| Office 2010 | 14.0 |
| Office 2013 | 15.0 |
| Office 2016 | 16.0 |
Para Office 2010 y versiones posteriores, para deshabilitar la característica DDE mediante la Editor del Registro, agregue la siguiente clave del Registro:
Ubicación:
HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Word\Options\WordMail
Nombre: DontUpdateLinks
Tipo: DWORD
Valor: 1Para Office 2007, para deshabilitar la característica DDE mediante la Editor del Registro, agregue la siguiente clave del Registro:
Ubicación:
HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref
Nombre: fNoCalclinksOnopen_90_1
Tipo: DWORD
Valor: 1
Nota:
Impacto de la mitigación:
Al establecer esta clave del Registro, se deshabilitará la actualización automática del campo DDE y los vínculos OLE. Los usuarios todavía pueden habilitar la actualización haciendo clic con el botón derecho en el campo y seleccionando "Actualizar campo".
Microsoft Publisher
Un documento de Word que usa el protocolo DDE que se encuentra en un documento del publicador podría ser un posible vector de ataque. Puede ayudar a evitar este vector de ataque aplicando la modificación de la clave del Registro Word. Consulte la sección siguiente para ver los valores de clave del Registro de Word.
Microsoft Word
Consulte la tabla siguiente para ver la cadena de versión de la clave del Registro que se va a establecer para cada versión de Office:
| Versión de Office** | Cadena de versión> de clave <del Registro |
|---|---|
| Office 2010 | 14.0 |
| Office 2013 | 15.0 |
| Office 2016 | 16.0 |
Para Office 2010 y versiones posteriores, para deshabilitar la característica DDE mediante la Editor del Registro, agregue la siguiente clave del Registro:
Ubicación:
HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Word\Options
Nombre: DontUpdateLinks
Tipo: DWORD
Valor: 1Para Office 2007, para deshabilitar la característica DDE mediante la Editor del Registro, agregue la siguiente clave del Registro:
Ubicación:
HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref
Nombre: fNoCalclinksOnopen_90_1
Tipo: DWORD
Valor: 1
Nota:
Impacto de la mitigación:
Al establecer esta clave del Registro, se deshabilitará la actualización automática del campo DDE y los vínculos OLE. Los usuarios todavía pueden habilitar la actualización haciendo clic con el botón derecho en el campo y seleccionando "Actualizar campo".
Acerca de Windows 10 Fall Creator Update (versión 1709)
Los usuarios de Windows 10 Fall Creator Update pueden usar Windows Defender Exploit Guard para bloquear el malware basado en DDE con reducción de superficie expuesta a ataques (ASR).
Reducción de superficie expuesta a ataques es un componente dentro de Windows Defender Protección contra vulnerabilidades de seguridad que proporciona a las empresas un conjunto de inteligencia integrada que puede bloquear los comportamientos subyacentes que usan los documentos malintencionados para ejecutar ataques sin obstaculizar el funcionamiento del producto. Al bloquear comportamientos malintencionados independientes de lo que es la amenaza o vulnerabilidad de seguridad, ASR puede proteger a las empresas de ataques de día cero nunca vistos como estas vulnerabilidades detectadas recientemente: CVE-2017-8759, CVE-2017-11292 y CVE-2017-11826.
Para las aplicaciones de Office, ASR puede:
- Impedir que las aplicaciones de Office creen contenido ejecutable
- Impedir que las aplicaciones de Office inicien el proceso secundario
- Impedir que las aplicaciones de Office se inserten en el proceso
- Bloquear importaciones de Win32 desde código de macro en Office
- Bloquear código de macro ofuscado
Las vulnerabilidades de seguridad emergentes como DDEDownloader usan el elemento emergente Intercambio dinámico de datos (DDE) en documentos de Office para ejecutar un descargador de PowerShell; sin embargo, al hacerlo, inician un proceso secundario que la regla de proceso secundario correspondiente bloquea.
Para obtener más información sobre Windows Defender Exploit Guard, consulte Windows Defender Protección contra vulnerabilidades de seguridad: reducir la superficie expuesta a ataques frente a malware de próxima generación.
Microsoft está investigando este problema aún más y publicará más información en este artículo cuando la información esté disponible.