DDE(동적 데이터 교환) 필드가 포함된 Microsoft Office 문서 안전하게 열기

  • 아티클
  • 적용 대상:
    Outlook, Exchange

개요

이 보안 권고 문서에서는 Microsoft Office 응용 프로그램의 보안 설정에 대한 정보를 제공합니다. DDE(동적 데이터 교환) 필드를 처리할 때 이러한 애플리케이션이 제대로 보호되도록 하기 위해 사용자가 수행할 수 있는 일에 대한 지침을 제공합니다.

동적 데이터 교환 정보

Microsoft Office는 애플리케이션 간에 데이터를 전송하는 몇 가지 방법을 제공합니다. DDE 프로토콜은 메시지 및 지침의 집합입니다. 데이터를 공유하는 애플리케이션 간에 메시지를 보내고 공유 메모리를 사용하여 애플리케이션 간에 데이터를 교환합니다. 애플리케이션은 일회성 데이터 전송 및 새 데이터를 사용할 수 있게 되면 애플리케이션이 서로 업데이트를 전송하는 지속적인 교환에 DDE 프로토콜을 사용할 수 있습니다.

시나리오

전자 메일 공격 시나리오에서 공격자는 특별히 만들어진 파일을 사용자에게 보낸 다음, 일반적으로 전자 메일의 유혹을 통해 사용자에게 파일을 열도록 설득하여 DDE 프로토콜을 사용할 수 있습니다. 공격자는 사용자에게 보호 모드를 사용하지 않도록 설정하고 하나 이상의 추가 프롬프트를 클릭하도록 설득해야 합니다. 전자 메일 첨부 파일은 공격자가 맬웨어를 확산하는 데 사용할 수 있는 기본 방법이기 때문에 의심스러운 파일 첨부 파일을 열 때 고객에게 주의를 기울일 것을 강력히 권장합니다.

DDE 기능 제어 키

Microsoft Office는 레지스트리에 저장되고 제품 기능 수정, 업계 표준에 대한 지원 향상 및 보안 향상을 담당하는 몇 가지 기능 제어 키를 제공합니다. Microsoft는 이러한 기능 제어 키를 문서화했으며 보안상의 이유로 특정 기능 제어 키를 사용하도록 설정하는 것이 좋습니다. 자세한 내용은 Office 2016에 대한 보안 및 제어 액세스를 참조하세요.

Microsoft는 Microsoft Office의 모든 사용자가 보안 관련 기능 제어 키를 검토하고 사용하도록 설정하는 것이 좋습니다. 다음 섹션에 설명된 레지스트리 키를 설정하면 연결된 필드의 데이터 자동 업데이트가 비활성화됩니다.

DDE 공격 시나리오 완화

즉각적인 조치를 취하려는 사용자는 Microsoft Office에 대한 레지스트리 항목을 수동으로 만들고 설정하여 자신을 보호할 수 있습니다. 다음 지침을 사용하여 시스템에 설치된 Office 응용 프로그램을 기반으로 레지스트리 키를 설정합니다.

경고

레지스트리 편집기를 잘못 사용하는 경우 운영 체제를 다시 설치해야 하는 심각한 문제가 발생할 수 있습니다. Microsoft는 레지스트리 편집기를 잘못 사용함으로써 발생하는 문제에 대해 해결을 보증하지 않습니다. 레지스트리 편집기의 사용에 따른 모든 책임은 사용자에게 있습니다.

Microsoft Excel

Excel은 문서를 시작하는 DDE 기능에 따라 달라집니다.

Excel의 링크 자동 업데이트(DDE, OLE, 외부 셀 또는 정의된 이름 참조 포함)를 방지하려면 각 버전에 대해 설정할 레지스트리 키 버전 문자열에 대한 다음 표를 참조하세요.

Office 버전 레지스트리 키 <버전> 문자열
Office 2007 12.0
Office 2010 14.0
Office 2013 15.0
Office 2016 16.0

  • 사용자 인터페이스에서 DDE 기능을 사용하지 않도록 설정하려면 다음을 수행합니다.

    파일>옵션>보안 센터 보안 센터>설정>외부 콘텐츠로 이동하여 통합 문서 링크의 보안 설정을 설정하여 통합 문서 링크의 자동 업데이트를 사용하지 않도록 설정합니다.

  • 레지스트리 편집기를 사용하여 DDE 기능을 사용하지 않도록 설정하려면 다음 레지스트리 키를 추가합니다.

    위치: HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Excel\Security
    이름: WorkbookLinkWarnings
    값 형식: DWORD
    : 2

참고

완화의 영향:

이 기능을 사용하지 않도록 설정하면 레지스트리에서 사용하지 않도록 설정된 경우 Excel 스프레드시트가 동적으로 업데이트되지 않도록 할 수 있습니다. 데이터는 더 이상 라이브 피드를 통해 자동으로 업데이트되지 않으므로 완전히 최신 상태가 아닐 수 있습니다. 워크시트를 업데이트하려면 사용자가 피드를 수동으로 시작해야 합니다. 또한 사용자는 워크시트를 수동으로 업데이트하라는 메시지를 받지 못합니다.

Microsoft Outlook

각 Office 버전에 대해 설정할 레지스트리 키 버전 문자열은 다음 표를 참조하세요.

Office 버전 레지스트리 키 <버전> 문자열
Office 2010 14.0
Office 2013 15.0
Office 2016 16.0

  • Office 2010 이상 버전의 경우 레지스트리 편집기를 사용하여 DDE 기능을 사용하지 않도록 설정하려면 다음 레지스트리 키를 추가합니다.

    위치: HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Word\Options\WordMail
    이름: DontUpdateLinks
    형식: DWORD
    : 1

  • Office 2007의 경우 레지스트리 편집기를 사용하여 DDE 기능을 사용하지 않도록 설정하려면 다음 레지스트리 키를 추가합니다.

    위치: HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref
    이름: fNoCalclinksOnopen_90_1
    형식: DWORD
    : 1

참고

완화의 영향:

이 레지스트리 키를 설정하면 DDE 필드 및 OLE 링크에 대한 자동 업데이트를 사용하지 않도록 설정합니다. 사용자는 필드를 마우스 오른쪽 단추로 클릭하고 "업데이트 필드"를 선택하여 업데이트를 계속 사용하도록 설정할 수 있습니다.

Microsoft Publisher

게시자 문서 내에 포함된 DDE 프로토콜을 사용하는 Word 문서는 공격 벡터일 수 있습니다. Word 레지스트리 키 수정을 적용하여 이 공격 벡터를 방지할 수 있습니다. Word 레지스트리 키 값은 다음 섹션을 참조하세요.

Microsoft Word

각 Office 버전에 대해 설정할 레지스트리 키 버전 문자열은 다음 표를 참조하세요.

Office 버전** 레지스트리 키 <버전> 문자열
Office 2010 14.0
Office 2013 15.0
Office 2016 16.0

  • Office 2010 이상 버전의 경우 레지스트리 편집기를 사용하여 DDE 기능을 사용하지 않도록 설정하려면 다음 레지스트리 키를 추가합니다.

    위치: HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Word\Options
    이름: DontUpdateLinks
    형식: DWORD
    : 1

  • Office 2007의 경우 레지스트리 편집기를 사용하여 DDE 기능을 사용하지 않도록 설정하려면 다음 레지스트리 키를 추가합니다.

    위치: HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref
    이름: fNoCalclinksOnopen_90_1
    형식: DWORD
    : 1

참고

완화의 영향:

이 레지스트리 키를 설정하면 DDE 필드 및 OLE 링크에 대한 자동 업데이트를 사용하지 않도록 설정합니다. 사용자는 필드를 마우스 오른쪽 단추로 클릭하고 "업데이트 필드"를 선택하여 업데이트를 계속 사용하도록 설정할 수 있습니다.

Windows 10 Fall Creator 업데이트 정보(버전 1709)

Windows 10 Fall Creator Update의 사용자는 Windows Defender Exploit Guard를 사용하여 ASR(공격 표면 감소)으로 DDE 기반 맬웨어를 차단할 수 있습니다.

공격 표면 감소는 Windows Defender Exploit Guard 내의 구성 요소로, 기업에게 제품 작업을 방해하지 않고 악의적인 문서에서 공격을 실행하는 데 사용되는 기본 동작을 차단할 수 있는 기본 제공 인텔리전스 집합을 제공합니다. ASR은 위협 또는 악용에 관계없이 악의적인 동작을 차단하여 CVE-2017-8759, CVE-2017-11292 및 CVE-2017-11826같이 이전에 본 적이 없는 제로 데이 공격으로부터 기업을 보호할 수 있습니다.

Office 앱의 경우 ASR은 다음을 수행할 수 있습니다.

  • Office 앱에서 실행 파일 콘텐츠를 만들지 못하도록 차단
  • Office 앱에서 자식 프로세스를 시작하지 못하도록 차단
  • Office 앱이 프로세스에 삽입되는 것을 차단합니다.
  • Office의 매크로 코드에서 Win32 가져오기 차단
  • 난독 제거된 매크로 코드 차단

DDEDownloader와 같은 새로운 악용은 Office 문서에서 DDE(동적 데이터 교환) 팝업을 사용하여 PowerShell 다운로더를 실행합니다. 그러나 이렇게 하면 해당 자식 프로세스 규칙이 차단하는 자식 프로세스를 시작합니다.

Windows Defender Exploit Guard에 대한 자세한 내용은 Windows Defender Exploit Guard: 차세대 맬웨어에 대한 공격 노출 영역 줄이기를 참조하세요.

Microsoft는 이 문제를 추가로 조사하고 있으며 정보를 사용할 수 있게 되면 이 문서에 추가 정보를 게시할 예정입니다.