פתיחה מאובטחת של מסמכי Microsoft Office המכילים שדות חילופי מידע דינאמיים (DDE)
סקירה כללית
מאמר מינורית זה בנושא אבטחה מספק מידע בנוגע להגדרות אבטחה עבור יישומי Microsoft Office. הוא מספק הדרכה לגבי הפעולות שמשתמשים יכולים לעשות כדי להבטיח שיישומים אלה מאובטחים כראוי בעת עיבוד שדות של חילופי מידע דינאמיים (DDE).
אודות חילופי מידע דינאמיים
Microsoft Office מספק כמה שיטות להעברת נתונים בין יישומים. פרוטוקול DDE הוא ערכה של הודעות וקווים מנחים. הוא שולח הודעות בין יישומים המשתף נתונים ומשתמש בזיכרון משותף כדי להחליף נתונים בין יישומים. אפליקציות יכולות להשתמש בפרוטוקול DDE להעברות נתונים חד-פעמיות ולהחלפה רציפה שבה אפליקציות שולחות עדכונים זה אל זה כאשר נתונים חדשים זמינים.
תרחיש
בתרחיש של תקיפה בדואר אלקטרוני, תוקף יכול להשתמש בפרוטוקול DDE על-ידי שליחת קובץ בעל מבנה מיוחד למשתמש ולאחר מכן משכנע את המשתמש לפתוח את הקובץ, בדרך כלל באמצעות הכניסה בדואר אלקטרוני. התוקף תצטרך לשכנע את המשתמש להפוך את מצב מוגן ללא זמין וללחוץ על בקשה נוספת אחת או יותר. כאשר קבצים מצורפים לדואר אלקטרוני הם שיטה ראשית שתוקף יכול להשתמש בה כדי להפיץ תוכנות זדוניות, Microsoft ממליצה מאוד ללקוחות לנקוט זהירות בעת פתיחת קבצים מצורפים חשודים.
מקשי בקרת תכונות של DDE
Microsoft Office מספק כמה מפתחות בקרת תכונות המאוחסנים ברישום ואחראים לשינוי פונקציונליות המוצר, לשיפור התמיכה בתקני התעשייה ולשיפור האבטחה. Microsoft תהמסמכים מפתחות בקרת תכונות אלה והיא ממליצה להפעיל מפתחות בקרת תכונות ספציפיים מסיבות אבטחה. לקבלת מידע נוסף, ראה אבטחה ושליטה בגישה ל- Office 2016.
Microsoft ממליצה מאוד לכל המשתמשים של Microsoft Office לסקור את מפתחות בקרת התכונות הקשורים לאבטחה ולאפשר אותם. הגדרת מפתחות הרישום המתוארים בסעיפים הבאים מבטלת עדכון אוטומטי של נתונים משדות מקושרים.
צמצום תרחישי התקפה של DDE
משתמשים הברצונך לבצע פעולה מיידית יכולים להגן על עצמם על-ידי יצירה והגדרה ידנית של ערכי רישום עבור Microsoft Office. השתמש בהוראות הבאות כדי להגדיר את מפתחות הרישום בהתבסס על יישומי Office המותקנים במערכת שלך.
אזהרה
אם אתה משתמש ברישום עורך, אתה עלול לגרום לבעיות חמורות שעלולות לדרוש התקנה מחדש של מערכת ההפעלה. Microsoft אינה יכולה להבטיח שתוכל לפתור בעיות כתוצאה משימוש שגוי בעורך הרישום. האחריות על השימוש בעורך הרישום מוטלת עליך בלבד.
Microsoft Excel
Excel תלוי בתכונה DDE להפעלת מסמכים.
כדי למנוע עדכון אוטומטי של קישורים מ- Excel (כולל DDE, OLE והפניות לתא חיצוני או הפניות שם מוגדרות), עיין בטבלה הבאה כדי להגדיר את מחרוזת הגירסה של מפתח הרישום עבור כל גירסה:
גירסת Office | מחרוזת גירסה של <מפתח> רישום |
---|---|
Office 2007 | 12.0 |
Office 2010 | 14.0 |
Office 2013 | 15.0 |
Office 2016 | 16.0 |
כדי להפוך את התכונה DDE ללא זמינה מממשק המשתמש:
עבור אל תוכן חיצוני>של הגדרות>מרכז יחסי האמון>של> מרכז יחסי האמון של אפשרויותקובץ, הגדר הגדרות אבטחה עבור קישורי חוברת עבודה כדי להפוך עדכון אוטומטי של קישורי חוברת עבודה ללא זמין.
כדי להפוך את התכונה DDE ללא זמינה באמצעות תיבת עורך הרישום, הוסף את מפתח הרישום הבא:
מיקום:
HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Excel\Security
שם: WorkbookLinkWarnings
סוג ערך: DWORD
ערך: 2
הערה
השפעה של צמצום סיכונים:
הפיכת תכונה זו ללא זמינה עלולה למנוע עדכון דינאמי של גליונות אלקטרוניים של Excel אם הם אינם זמינים ברישום. ייתכן שהנתונים לא יהיו מעודכנים לחלוטין מאחר שהם אינם מתעדכנים עוד באופן אוטומטי באמצעות הזנה חיה. כדי לעדכן את גליון העבודה, המשתמש חייב להפעיל את ההזנה באופן ידני. בנוסף, המשתמש לא יקבל הנחיות כדי להזכיר לו לעדכן את גליון העבודה באופן ידני.
Microsoft Outlook
עיין בטבלה הבאה לקבלת מחרוזת הגירסה של מפתח הרישום להגדרה עבור כל גירסה של Office:
גירסת Office | מחרוזת גירסה של <מפתח> רישום |
---|---|
Office 2010 | 14.0 |
Office 2013 | 15.0 |
Office 2016 | 16.0 |
עבור Office 2010 וגירסאות מאוחרות יותר, כדי להפוך את התכונה DDE ללא זמינה באמצעות תיבת עורך הרישום, הוסף את מפתח הרישום הבא:
מיקום:
HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Word\Options\WordMail
Name: DontUpdateLinks
סוג: DWORD
ערך: 1עבור Office 2007, כדי להפוך את התכונה DDE ללא זמינה באמצעות עורך הרישום, הוסף את מפתח הרישום הבא:
מיקום:
HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref
שם: fNoCalclinksOnopen_90_1
סוג: DWORD
ערך: 1
הערה
השפעה של צמצום סיכונים:
הגדרת מפתח רישום זה תהפוך עדכון אוטומטי ללא זמין עבור שדות DDE וקישורי OLE. המשתמשים עדיין יכולים להפוך את העדכון לזמין על-ידי לחיצה באמצעות לחצן העכבר הימני על השדה ובחירה באפשרות 'עדכן שדה'.
Microsoft Publisher
A Word document using the DDE protocol that is imbdded within a Publisher document could be a attack vector. באפשרותך לסייע במניעת וקטור תקיפה זה על-ידי Word שינוי מפתח הרישום. עיין בסעיף הבא לקבלת Word מפתח הרישום.
Microsoft Word
עיין בטבלה הבאה לקבלת מחרוזת הגירסה של מפתח הרישום להגדרה עבור כל גירסה של Office:
גירסת Office** | מחרוזת גירסה של <מפתח> רישום |
---|---|
Office 2010 | 14.0 |
Office 2013 | 15.0 |
Office 2016 | 16.0 |
עבור Office 2010 וגירסאות מאוחרות יותר, כדי להפוך את התכונה DDE ללא זמינה באמצעות מנהל עורך הרישום, הוסף את מפתח הרישום הבא:
מיקום:
HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Word\Options
Name: DontUpdateLinks
סוג: DWORD
ערך: 1עבור Office 2007, כדי להפוך את התכונה DDE ללא זמינה באמצעות תיבת עורך הרישום, הוסף את מפתח הרישום הבא:
מיקום:
HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref
שם: fNoCalclinksOnopen_90_1
סוג: DWORD
ערך: 1
הערה
השפעה של צמצום סיכונים:
הגדרת מפתח רישום זה תהפוך עדכון אוטומטי ללא זמין עבור שדות DDE וקישורי OLE. המשתמשים עדיין יכולים להפוך את העדכון לזמין על-ידי לחיצה באמצעות לחצן העכבר הימני על השדה ובחירה באפשרות 'עדכן שדה'.
אודות Windows 10 Fall Creator Update (גירסה 1709)
משתמשי העדכון Windows 10 Fall Creator יכולים להשתמש ב- Windows Defender Exploit Guard כדי לחסום תוכנות זדוניות המבוססות על DDE באמצעות Attack Surface Reduction (ASR).
הפחתת Surface של התקפה היא רכיב בתוך Windows Defender Exploit Guard שמספק לארגונים קבוצה של בינה מוכללת שעלולה לחסום את אופני הפעולה המשמשים את המסמכים הזדון כדי לבצע התקפות מבלי לתקוף את פעולת המוצר. על-ידי חסימת אופני פעולה זדוניים ללא קשר לאיום או לניצול לרעה, ASR יכול להגן על ארגונים מפני התקפות בלתי צפויות של אפס ימים כמו פגיעויות אלה שהתגלו לאחרונה: CVE-2017-8759, CVE-2017-11292 ו- CVE-2017-11826.
עבור יישומי Office, ASR יכול:
- חסימת אפליקציות Office מפני יצירת תוכן בר הפעלה
- חסימת אפליקציות Office מהפעלת תהליך צאצא
- חסימת אפליקציות Office מפני הזרקת אפליקציות לתוך תהליך
- חסימת פעולות ייבוא של Win32 מקוד מאקרו ב- Office
- חסימת קוד מאקרו מעורפל
ניצולים מתפתחים כגון DDEDownloader משתמשים בחלון המוקפץ של חילופי מידע דינאמיים (DDE) במסמכי Office כדי להפעיל מוריד PowerShell; עם זאת, בעת ביצוע פעולה זו, הם מפעילים תהליך צאצא שכלל תהליך הצאצא המתאים חוסם.
לקבלת מידע נוסף על Windows Defender Exploit Guard, ראה Windows Defender Exploit Guard: צמצם את משטח התקיפה מפני תוכנות זדוניות מהדור הבא.
Microsoft חוקרת בעיה זו עוד יותר ותפרסם מידע נוסף במאמר זה כאשר המידע יהיה זמין.
משוב
https://aka.ms/ContentUserFeedback.
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה:שלח והצג משוב עבור