Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Apertura sicura di documenti di Microsoft Office contenenti campi DDE (Dynamic Data Exchange)
Pubblicato: 8 novembre 2017 | Aggiornato: 9 gennaio 2018
Versione: 3.0
Schema riepilogativo
Microsoft sta rilasciando questo avviso di sicurezza per fornire informazioni sulle impostazioni di sicurezza per le app Office licazioni Microsoft. Questo avviso fornisce indicazioni sulle operazioni che gli utenti possono eseguire per garantire che queste applicazioni siano protette correttamente durante l'elaborazione dei campi DDE (Dynamic Data Exchange).
Informazioni su Dynamic Data Exchange
Microsoft Office offre diversi metodi per trasferire i dati tra applicazioni. Il protocollo DDE è un set di messaggi e linee guida. Invia messaggi tra applicazioni che condividono dati e usa la memoria condivisa per scambiare dati tra applicazioni. Le applicazioni possono usare il protocollo DDE per i trasferimenti di dati monouso e per gli scambi continui in cui le applicazioni inviano aggiornamenti l'una all'altra man mano che diventano disponibili nuovi dati.
Scenario
In uno scenario di attacco tramite posta elettronica, un utente malintenzionato potrebbe sfruttare il protocollo DDE inviando un file appositamente creato all'utente e quindi convincendo l'utente ad aprire il file, in genere tramite un incitamento in un messaggio di posta elettronica. L'utente malintenzionato dovrà convincere l'utente a disabilitare la modalità protetta e fare clic su una o più richieste aggiuntive. Poiché gli allegati di posta elettronica sono un metodo principale che un utente malintenzionato potrebbe usare per diffondere malware, Microsoft consiglia vivamente di prestare attenzione all'apertura di allegati di file sospetti.
Tasti di controllo delle funzionalità DDE
Microsoft Office fornisce diverse chiavi di controllo delle funzionalità archiviate nel Registro di sistema e sono responsabili della modifica delle funzionalità del prodotto, del miglioramento del supporto per gli standard di settore e del miglioramento della sicurezza. Microsoft ha documentato queste chiavi di controllo delle funzionalità e consiglia di abilitare chiavi di controllo delle funzionalità specifiche per motivi di sicurezza. Vedere la documentazione seguente:
- Office 2016: Proteggere e controllare l'accesso a Office
- Office 2013: Proteggere Office 2013
Microsoft incoraggia vivamente tutti gli utenti di Microsoft Office a esaminare le chiavi di controllo delle funzionalità correlate alla sicurezza e abilitarle. L'impostazione delle chiavi del Registro di sistema descritte nelle sezioni seguenti disabilita l'aggiornamento automatico dei dati dai campi collegati.
Aggiornamento il 12 dicembre 2017, Microsoft ha rilasciato un aggiornamento per tutte le edizioni supportate di Microsoft Word che consente agli utenti di impostare la funzionalità del protocollo DDE in base al proprio ambiente. Per altre informazioni e per scaricare l'aggiornamento, vedere ADV170021.
Aggiornamento il 9 gennaio 2018, Microsoft ha rilasciato un aggiornamento per tutte le edizioni supportate di Microsoft Excel che consente agli utenti di impostare la funzionalità del protocollo DDE in base al proprio ambiente. Per altre informazioni e per scaricare l'aggiornamento, vedere ADV170021.
Mitigazione degli scenari di attacco DDE
Gli utenti che desiderano intervenire immediatamente possono proteggersi creando e impostando manualmente le voci del Registro di sistema per Microsoft Office. Usare le istruzioni seguenti per impostare le chiavi del Registro di sistema in base alle app Office licazioni installate nel sistema.
Avviso: se si usa l'editor del Registro di sistema in modo errato, è possibile che si verifichino gravi problemi che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non può garantire che sia possibile risolvere i problemi derivanti dall'uso non corretto dell'editor del Registro di sistema. Utilizzare l'editor del Registro di sistema a proprio rischio.
Microsoft consiglia di eseguire il backup del Registro di sistema prima di apportare modifiche alle voci del Registro di sistema.
Microsoft Excel
Excel dipende dalla funzionalità DDE per avviare i documenti.
Per impedire l'aggiornamento automatico dei collegamenti da Excel (inclusi riferimenti alla cella DDE, OLE ed esterna o ai nomi definiti), fare riferimento alla tabella seguente per la stringa di versione della chiave del Registro di sistema da impostare per ogni versione:
| Versione di Office | Stringa di versione> della chiave <del Registro di sistema |
|---|---|
| Office 2007 | 12.0 |
| Office 2010 | 14,0 |
| Office 2013 | 15.0 |
| Office 2016 | 16,0 |
- Per disabilitare la funzionalità DDE tramite l'interfaccia utente:
Impostare File-Options-Trust Center-Trust> Center Impostazioni...-External Content-Security settings for Workbook Links = Disable automatic update of Workbook Links.Set File-Options-Trust>> Center-Trust Center Impostazioni...->External Content-Security> settings for Workbook Links = Disable automatic update of Workbook Links. - Per disabilitare la funzionalità DDE tramite l'editor del Registro di sistema:
[HKEY_CURRENT_USER\Software\Microsoft\Office\</version><version>\Excel\Security]
WorkbookLinkWarnings(DWORD) = 2
Impatto della mitigazione: la disabilitazione di questa funzionalità potrebbe impedire l'aggiornamento dinamico dei fogli di calcolo di Excel se disabilitati nel Registro di sistema. I dati potrebbero non essere completamente aggiornati perché non vengono più aggiornati automaticamente tramite feed live. Per aggiornare il foglio di lavoro, l'utente deve avviare manualmente il feed. Inoltre, l'utente non riceverà richieste per ricordarle di aggiornare manualmente il foglio di lavoro.
Microsoft Outlook
Per la stringa di versione della chiave del Registro di sistema da impostare per ogni versione di Office, vedere la tabella seguente:
| Versione di Office | Chiave <del Registro di sistema /version> string |
|---|---|
| Office 2010 | 14,0 |
| Office 2013 | 15.0 |
| Office 2016 | 16,0 |
- Per Office 2010 e versioni successive, per disabilitare la funzionalità DDE tramite l'editor del Registro di sistema:
[HKEY_CURRENT_USER\Software\Microsoft\Office\</version><version>\Word\Options\WordMail]
DontUpdateLinks(DWORD)=1
- Per Office 2007, per disabilitare la funzionalità DDE tramite l'editor del Registro di sistema:
[HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref]
fNoCalclinksOnopen_90_1(DWORD)=1
Impatto della mitigazione: l'impostazione di questa chiave del Registro di sistema disabiliterà l'aggiornamento automatico per il campo DDE e i collegamenti OLE. Gli utenti possono comunque abilitare l'aggiornamento facendo clic con il pulsante destro del mouse sul campo e scegliendo "Aggiorna campo".
Microsoft Publisher
Un documento di Word che usa il protocollo DDE inserito in un documento del server di pubblicazione potrebbe essere un possibile vettore di attacco. È possibile evitare questo vettore di attacco applicando la modifica della chiave del Registro di sistema di Word. Vedere la sezione seguente per i valori delle chiavi del Registro di sistema di Word.
Microsoft Word
Vedere ADV170021 per un aggiornamento per Microsoft Word che consente agli utenti di impostare la funzionalità del protocollo DDE in base al proprio ambiente.
Per la stringa di versione della chiave del Registro di sistema da impostare per ogni versione di Office, vedere la tabella seguente:
| Versione di Office | Chiave <del Registro di sistema /version> string |
|---|---|
| Office 2010 | 14,0 |
| Office 2013 | 15.0 |
| Office 2016 | 16,0 |
- Per Office 2010 e versioni successive, per disabilitare la funzionalità DDE tramite l'editor del Registro di sistema:
[HKEY_CURRENT_USER\Software\Microsoft\Office\</version><version>\Word\Options]
DontUpdateLinks(DWORD)=1
- Per Office 2007, per disabilitare la funzionalità DDE tramite l'editor del Registro di sistema:
[HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref]
fNoCalclinksOnopen_90_1(DWORD)=1
Impatto della mitigazione: l'impostazione di questa chiave del Registro di sistema disabiliterà l'aggiornamento automatico per il campo DDE e i collegamenti OLE. Gli utenti possono comunque abilitare l'aggiornamento facendo clic con il pulsante destro del mouse sul campo e scegliendo "Aggiorna campo".
Windows 10 Fall Creators Update (versione 1709)
Gli utenti di Windows 10 Fall Creators Update possono sfruttare Windows Defender Exploit Guard per bloccare il malware basato su DDE con regole di riduzione della superficie di attacco .
ASR è un componente all'interno di Windows Defender Exploit Guard che fornisce alle aziende un set di intelligence predefinite che può bloccare i comportamenti sottostanti usati da documenti dannosi per eseguire attacchi senza ostacolare l'operazione del prodotto. Bloccando comportamenti dannosi indipendentemente dalla minaccia o dall'exploit, l'ASR può proteggere le aziende da attacchi zero-day mai visti prima come queste vulnerabilità individuate di recente: CVE-2017-8759, CVE-2017-11292 e CVE-2017-11826.
Per le app Office, asr può:
- Impedisci app Office di creare contenuto eseguibile
- Bloccare app Office dall'avvio del processo figlio
- Bloccare le app Office dall'inserimento nel processo
- Bloccare le importazioni Win32 dal codice macro in Office
- Blocca il codice di macro offuscato
Gli exploit emergenti come DDEDownloader usano il popup DDE (Dynamic Data Exchange) nei documenti di Office per eseguire un downloader di PowerShell. In questo caso, tuttavia, avviano un processo figlio bloccato dalla regola del processo figlio corrispondente.
Windows Defender Exploit Guard può essere usato con Windows Defender Advanced Threat Protection (ATP) per analizzare e rispondere ai rischi e ai problemi di sicurezza a livello aziendale. Per altre informazioni su Windows Defender Exploit Guard e Windows Defender ATP, vedi:
- Windows Defender Exploit Guard
- Windows Defender Advanced Threat Protection
- Iscriversi a una versione di valutazione gratuita per Windows Defender ATP
- Windows Defender Exploit Guard: ridurre la superficie di attacco contro il malware di nuova generazione
Microsoft sta cercando ulteriormente questo problema e pubblicherà ulteriori informazioni in questo articolo quando le informazioni diventano disponibili.
Azioni aggiuntive suggerite
- Proteggere il PC
Continuiamo a incoraggiare i clienti a seguire le linee guida per proteggere il computer per abilitare un firewall, ottenere gli aggiornamenti software e installare il software antivirus. Per altre informazioni, vedere Microsoft Cassaforte ty & Security Center. - Mantenere aggiornato il software Microsoft
Gli utenti che eseguono software Microsoft devono applicare gli aggiornamenti della sicurezza Microsoft più recenti per assicurarsi che i computer siano il più protetti possibile. Se non si è certi che il software sia aggiornato, visitare Microsoft Update, analizzare il computer per verificare la disponibilità degli aggiornamenti e installare eventuali aggiornamenti ad alta priorità offerti. Se l'aggiornamento automatico è abilitato e configurato per fornire aggiornamenti per i prodotti Microsoft, gli aggiornamenti vengono recapitati all'utente quando vengono rilasciati, ma è necessario verificare che siano installati.
Altre informazioni
Dichiarazione di non responsabilità
Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni
- V1.0 (8 novembre 2017): Avviso pubblicato.
- V1.1 (30 novembre 2017): aggiornata la sezione Windows 10 Fall Creators Update con altre informazioni sulle regole di riduzione della superficie di attacco (ASR). Si tratta solo di una modifica informativa.
- V2.0 (12 dicembre 2017): Microsoft ha rilasciato un aggiornamento per tutte le edizioni supportate di Microsoft Word che consente agli utenti di impostare la funzionalità del protocollo DDE in base al proprio ambiente. Per altre informazioni e per scaricare l'aggiornamento, vedere ADV170021.
- V3.0 (9 gennaio 2018): Microsoft ha rilasciato un aggiornamento per tutte le edizioni supportate di Microsoft Excel che consente agli utenti di impostare la funzionalità del protocollo DDE in base al proprio ambiente. Per altre informazioni e per scaricare l'aggiornamento, vedere ADV170021.