פתיחה מאובטחת של מסמכי Microsoft Office המכילים שדות חילופי מידע דינאמיים (DDE)

סקירה כללית

מאמר מינורית זה בנושא אבטחה מספק מידע בנוגע להגדרות אבטחה עבור יישומי Microsoft Office. הוא מספק הדרכה לגבי הפעולות שמשתמשים יכולים לעשות כדי להבטיח שיישומים אלה מאובטחים כראוי בעת עיבוד שדות של חילופי מידע דינאמיים (DDE).

אודות חילופי מידע דינאמיים

Microsoft Office מספק כמה שיטות להעברת נתונים בין יישומים. פרוטוקול DDE הוא ערכה של הודעות וקווים מנחים. הוא שולח הודעות בין יישומים המשתף נתונים ומשתמש בזיכרון משותף כדי להחליף נתונים בין יישומים. אפליקציות יכולות להשתמש בפרוטוקול DDE להעברות נתונים חד-פעמיות ולהחלפה רציפה שבה אפליקציות שולחות עדכונים זה אל זה כאשר נתונים חדשים זמינים.

תרחיש

בתרחיש של תקיפה בדואר אלקטרוני, תוקף יכול להשתמש בפרוטוקול DDE על-ידי שליחת קובץ בעל מבנה מיוחד למשתמש ולאחר מכן משכנע את המשתמש לפתוח את הקובץ, בדרך כלל באמצעות הכניסה בדואר אלקטרוני. התוקף תצטרך לשכנע את המשתמש להפוך את מצב מוגן ללא זמין וללחוץ על בקשה נוספת אחת או יותר. כאשר קבצים מצורפים לדואר אלקטרוני הם שיטה ראשית שתוקף יכול להשתמש בה כדי להפיץ תוכנות זדוניות, Microsoft ממליצה מאוד ללקוחות לנקוט זהירות בעת פתיחת קבצים מצורפים חשודים.

מקשי בקרת תכונות של DDE

Microsoft Office מספק כמה מפתחות בקרת תכונות המאוחסנים ברישום ואחראים לשינוי פונקציונליות המוצר, לשיפור התמיכה בתקני התעשייה ולשיפור האבטחה. Microsoft תהמסמכים מפתחות בקרת תכונות אלה והיא ממליצה להפעיל מפתחות בקרת תכונות ספציפיים מסיבות אבטחה. לקבלת מידע נוסף, ראה אבטחה ושליטה בגישה ל- Office 2016.

Microsoft ממליצה מאוד לכל המשתמשים של Microsoft Office לסקור את מפתחות בקרת התכונות הקשורים לאבטחה ולאפשר אותם. הגדרת מפתחות הרישום המתוארים בסעיפים הבאים מבטלת עדכון אוטומטי של נתונים משדות מקושרים.

צמצום תרחישי התקפה של DDE

משתמשים הברצונך לבצע פעולה מיידית יכולים להגן על עצמם על-ידי יצירה והגדרה ידנית של ערכי רישום עבור Microsoft Office. השתמש בהוראות הבאות כדי להגדיר את מפתחות הרישום בהתבסס על יישומי Office המותקנים במערכת שלך.

אזהרה

אם אתה משתמש ברישום עורך, אתה עלול לגרום לבעיות חמורות שעלולות לדרוש התקנה מחדש של מערכת ההפעלה. Microsoft אינה יכולה להבטיח שתוכל לפתור בעיות כתוצאה משימוש שגוי בעורך הרישום. האחריות על השימוש בעורך הרישום מוטלת עליך בלבד.

Microsoft Excel

Excel תלוי בתכונה DDE להפעלת מסמכים.

כדי למנוע עדכון אוטומטי של קישורים מ- Excel (כולל DDE, OLE והפניות לתא חיצוני או הפניות שם מוגדרות), עיין בטבלה הבאה כדי להגדיר את מחרוזת הגירסה של מפתח הרישום עבור כל גירסה:

גירסת Office מחרוזת גירסה של <מפתח> רישום
Office 2007 12.0
Office 2010 14.0
Office 2013 15.0
Office 2016 16.0
  • כדי להפוך את התכונה DDE ללא זמינה מממשק המשתמש:

    עבור אל תוכן חיצוני>של הגדרות>מרכז יחסי האמון>של> מרכז יחסי האמון של אפשרויותקובץ, הגדר הגדרות אבטחה עבור קישורי חוברת עבודה כדי להפוך עדכון אוטומטי של קישורי חוברת עבודה ללא זמין.

  • כדי להפוך את התכונה DDE ללא זמינה באמצעות תיבת עורך הרישום, הוסף את מפתח הרישום הבא:

    מיקום:HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Excel\Security
    שם: WorkbookLinkWarnings
    סוג ערך: DWORD
    ערך: 2

הערה

השפעה של צמצום סיכונים:

הפיכת תכונה זו ללא זמינה עלולה למנוע עדכון דינאמי של גליונות אלקטרוניים של Excel אם הם אינם זמינים ברישום. ייתכן שהנתונים לא יהיו מעודכנים לחלוטין מאחר שהם אינם מתעדכנים עוד באופן אוטומטי באמצעות הזנה חיה. כדי לעדכן את גליון העבודה, המשתמש חייב להפעיל את ההזנה באופן ידני. בנוסף, המשתמש לא יקבל הנחיות כדי להזכיר לו לעדכן את גליון העבודה באופן ידני.

Microsoft Outlook

עיין בטבלה הבאה לקבלת מחרוזת הגירסה של מפתח הרישום להגדרה עבור כל גירסה של Office:

גירסת Office מחרוזת גירסה של <מפתח> רישום
Office 2010 14.0
Office 2013 15.0
Office 2016 16.0
  • עבור Office 2010 וגירסאות מאוחרות יותר, כדי להפוך את התכונה DDE ללא זמינה באמצעות תיבת עורך הרישום, הוסף את מפתח הרישום הבא:

    מיקום:HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Word\Options\WordMail
    Name: DontUpdateLinks
    סוג: DWORD
    ערך: 1

  • עבור Office 2007, כדי להפוך את התכונה DDE ללא זמינה באמצעות עורך הרישום, הוסף את מפתח הרישום הבא:

    מיקום:HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref
    שם: fNoCalclinksOnopen_90_1
    סוג: DWORD
    ערך: 1

הערה

השפעה של צמצום סיכונים:

הגדרת מפתח רישום זה תהפוך עדכון אוטומטי ללא זמין עבור שדות DDE וקישורי OLE. המשתמשים עדיין יכולים להפוך את העדכון לזמין על-ידי לחיצה באמצעות לחצן העכבר הימני על השדה ובחירה באפשרות 'עדכן שדה'.

Microsoft Publisher

A Word document using the DDE protocol that is imbdded within a Publisher document could be a attack vector. באפשרותך לסייע במניעת וקטור תקיפה זה על-ידי Word שינוי מפתח הרישום. עיין בסעיף הבא לקבלת Word מפתח הרישום.

Microsoft Word

עיין בטבלה הבאה לקבלת מחרוזת הגירסה של מפתח הרישום להגדרה עבור כל גירסה של Office:

גירסת Office** מחרוזת גירסה של <מפתח> רישום
Office 2010 14.0
Office 2013 15.0
Office 2016 16.0
  • עבור Office 2010 וגירסאות מאוחרות יותר, כדי להפוך את התכונה DDE ללא זמינה באמצעות מנהל עורך הרישום, הוסף את מפתח הרישום הבא:

    מיקום:HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Word\Options
    Name: DontUpdateLinks
    סוג: DWORD
    ערך: 1

  • עבור Office 2007, כדי להפוך את התכונה DDE ללא זמינה באמצעות תיבת עורך הרישום, הוסף את מפתח הרישום הבא:

    מיקום:HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref
    שם: fNoCalclinksOnopen_90_1
    סוג: DWORD
    ערך: 1

הערה

השפעה של צמצום סיכונים:

הגדרת מפתח רישום זה תהפוך עדכון אוטומטי ללא זמין עבור שדות DDE וקישורי OLE. המשתמשים עדיין יכולים להפוך את העדכון לזמין על-ידי לחיצה באמצעות לחצן העכבר הימני על השדה ובחירה באפשרות 'עדכן שדה'.

אודות Windows 10 Fall Creator Update (גירסה 1709)

משתמשי העדכון Windows 10 Fall Creator יכולים להשתמש ב- Windows Defender Exploit Guard כדי לחסום תוכנות זדוניות המבוססות על DDE באמצעות Attack Surface Reduction (ASR).

הפחתת Surface של התקפה היא רכיב בתוך Windows Defender Exploit Guard שמספק לארגונים קבוצה של בינה מוכללת שעלולה לחסום את אופני הפעולה המשמשים את המסמכים הזדון כדי לבצע התקפות מבלי לתקוף את פעולת המוצר. על-ידי חסימת אופני פעולה זדוניים ללא קשר לאיום או לניצול לרעה, ASR יכול להגן על ארגונים מפני התקפות בלתי צפויות של אפס ימים כמו פגיעויות אלה שהתגלו לאחרונה: CVE-2017-8759, CVE-2017-11292 ו- CVE-2017-11826.

עבור יישומי Office, ASR יכול:

  • חסימת אפליקציות Office מפני יצירת תוכן בר הפעלה
  • חסימת אפליקציות Office מהפעלת תהליך צאצא
  • חסימת אפליקציות Office מפני הזרקת אפליקציות לתוך תהליך
  • חסימת פעולות ייבוא של Win32 מקוד מאקרו ב- Office
  • חסימת קוד מאקרו מעורפל

ניצולים מתפתחים כגון DDEDownloader משתמשים בחלון המוקפץ של חילופי מידע דינאמיים (DDE) במסמכי Office כדי להפעיל מוריד PowerShell; עם זאת, בעת ביצוע פעולה זו, הם מפעילים תהליך צאצא שכלל תהליך הצאצא המתאים חוסם.

לקבלת מידע נוסף על Windows Defender Exploit Guard, ראה Windows Defender Exploit Guard: צמצם את משטח התקיפה מפני תוכנות זדוניות מהדור הבא.

Microsoft חוקרת בעיה זו עוד יותר ותפרסם מידע נוסף במאמר זה כאשר המידע יהיה זמין.