Microsoft Office-documenten met DDE-velden (Dynamic Data Exchange) veilig openen

  • Artikel
  • Van toepassing op:
    Outlook, Exchange

Overzicht

Dit artikel over beveiligingsadvies bevat informatie over beveiligingsinstellingen voor Microsoft Office-toepassingen. Het biedt richtlijnen voor wat gebruikers kunnen doen om ervoor te zorgen dat deze toepassingen correct worden beveiligd bij het verwerken van DDE-velden (Dynamic Data Exchange).

Over dynamische gegevensuitwisseling

Microsoft Office biedt verschillende methoden voor het overdragen van gegevens tussen toepassingen. Het DDE-protocol is een set berichten en richtlijnen. Het verzendt berichten tussen toepassingen die gegevens delen en gebruikt gedeeld geheugen om gegevens uit te wisselen tussen toepassingen. Toepassingen kunnen het DDE-protocol gebruiken voor eenmalige gegevensoverdracht en voor continue uitwisselingen waarin toepassingen updates naar elkaar verzenden zodra nieuwe gegevens beschikbaar komen.

Scenario

In een scenario met e-mailaanvallen kan een aanvaller het DDE-protocol gebruiken door een speciaal gemaakt bestand naar de gebruiker te verzenden en de gebruiker vervolgens te overtuigen het bestand te openen, meestal via een aanlokking in een e-mailbericht. De aanvaller moet de gebruiker overtuigen om de beveiligde modus uit te schakelen en door een of meer extra prompts te klikken. Aangezien e-mailbijlagen een primaire methode zijn die een aanvaller kan gebruiken om malware te verspreiden, raadt Microsoft klanten ten zeerste aan voorzichtig te zijn bij het openen van verdachte bestandsbijlagen.

Besturingstoetsen voor DDE-functies

Microsoft Office biedt verschillende functiebeheersleutels die zijn opgeslagen in het register en die verantwoordelijk zijn voor het wijzigen van de productfunctionaliteit, het verbeteren van de ondersteuning voor industriestandaarden en het verbeteren van de beveiliging. Microsoft heeft deze functiebeheersleutels gedocumenteerd en raadt aan om specifieke functiebeheersleutels in te schakelen om veiligheidsredenen. Zie De toegang tot Office 2016 beveiligen en beheren voor meer informatie.

Microsoft moedigt alle gebruikers van Microsoft Office ten zeerste aan om de besturingssleutels voor beveiligingsfuncties te controleren en in te schakelen. Als u de registersleutels instelt die in de volgende secties worden beschreven, wordt automatisch bijwerken van gegevens uit gekoppelde velden uitgeschakeld.

DDE-aanvalsscenario's beperken

Gebruikers die direct actie willen ondernemen, kunnen zichzelf beschermen door handmatig registervermeldingen voor Microsoft Office te maken en in te stellen. Gebruik de volgende instructies om de registersleutels in te stellen op basis van de Office-toepassingen die op uw systeem zijn geïnstalleerd.

Waarschuwing

Als u De Register-editor onjuist gebruikt, kunt u ernstige problemen veroorzaken waarvoor u mogelijk uw besturingssysteem opnieuw moet installeren. Microsoft kan niet garanderen dat problemen die voortvloeien uit een verkeerd gebruik van Register-editor, kunnen worden opgelost. Het gebruik van de Register-editor is dan ook voor uw eigen risico.

Microsoft Excel

Excel is afhankelijk van de DDE-functie om documenten te starten.

Als u wilt voorkomen dat koppelingen van Excel automatisch worden bijgewerkt (inclusief DDE, OLE en externe cel of gedefinieerde naamverwijzingen), raadpleegt u de volgende tabel voor de registersleutelversietekenreeks die voor elke versie moet worden ingesteld:

Office-versie Registersleutelversietekenreeks <>
Office 2007 12.0
Office 2010 14.0
Office 2013 15.0
Office 2016 16.0

  • De DDE-functie uitschakelen vanuit de gebruikersinterface:

    Ga naar Instellingenvoor externe inhoud vanhet Vertrouwenscentrum>> voor bestandsopties>>, stel beveiligingsinstellingen voor werkmapkoppelingen in om automatische update van werkmapkoppelingen uit te schakelen.

  • Als u de DDE-functie wilt uitschakelen met behulp van de registereditor, voegt u de volgende registersleutel toe:

    Locatie: HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Excel\Security
    Naam: WorkbookLinkWarnings
    Waardetype: DWORD
    Waarde: 2

Opmerking

Gevolgen van risicobeperking:

Als u deze functie uitschakelt, kunnen Excel-spreadsheets mogelijk niet dynamisch worden bijgewerkt als ze zijn uitgeschakeld in het register. Gegevens zijn mogelijk niet volledig up-to-date omdat deze niet meer automatisch worden bijgewerkt via livefeeds. Als u het werkblad wilt bijwerken, moet de gebruiker de feed handmatig starten. Bovendien ontvangt de gebruiker geen prompts om hem of haar eraan te herinneren het werkblad handmatig bij te werken.

Microsoft Outlook

Raadpleeg de volgende tabel voor de registersleutelversietekenreeks die voor elke Office-versie moet worden ingesteld:

Office-versie Registersleutelversietekenreeks <>
Office 2010 14.0
Office 2013 15.0
Office 2016 16.0

  • Voor Office 2010 en latere versies voegt u de volgende registersleutel toe om de DDE-functie uit te schakelen met behulp van de Register-editor:

    Locatie: HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Word\Options\WordMail
    Naam: DontUpdateLinks
    Type: DWORD
    Waarde: 1

  • Als u in Office 2007 de DDE-functie wilt uitschakelen met behulp van de registereditor, voegt u de volgende registersleutel toe:

    Locatie: HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref
    Naam: fNoCalclinksOnopen_90_1
    Type: DWORD
    Waarde: 1

Opmerking

Gevolgen van risicobeperking:

Als u deze registersleutel instelt, wordt automatische update voor DDE-veld- en OLE-koppelingen uitgeschakeld. Gebruikers kunnen de update nog steeds inschakelen door met de rechtermuisknop op het veld te klikken en Veld bijwerken te selecteren.

Microsoft Publisher

Een Word-document dat gebruikmaakt van het DDE-protocol dat in een Publisher-document is geïmiteerd, kan een mogelijke aanvalsvector zijn. U kunt deze aanvalsvector helpen voorkomen door de wijziging van de Word-registersleutel toe te passen. Zie de volgende sectie voor de registersleutelwaarden van Word.

Microsoft Word

Raadpleeg de volgende tabel voor de registersleutelversietekenreeks die voor elke Office-versie moet worden ingesteld:

Office-versie** Registersleutelversietekenreeks <>
Office 2010 14.0
Office 2013 15.0
Office 2016 16.0

  • Voor Office 2010 en latere versies voegt u de volgende registersleutel toe om de DDE-functie uit te schakelen met behulp van de Register-editor:

    Locatie: HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Word\Options
    Naam: DontUpdateLinks
    Type: DWORD
    Waarde: 1

  • Als u in Office 2007 de functie DDE wilt uitschakelen met behulp van de Register-editor, voegt u de volgende registersleutel toe:

    Locatie: HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref
    Naam: fNoCalclinksOnopen_90_1
    Type: DWORD
    Waarde: 1

Opmerking

Gevolgen van risicobeperking:

Als u deze registersleutel instelt, wordt automatische update voor DDE-veld- en OLE-koppelingen uitgeschakeld. Gebruikers kunnen de update nog steeds inschakelen door met de rechtermuisknop op het veld te klikken en Veld bijwerken te selecteren.

Over Windows 10 Fall Creator Update (versie 1709)

Gebruikers van de Windows 10 Fall Creator Update kunnen Windows Defender Exploit Guard gebruiken om op DDE gebaseerde malware te blokkeren met Attack Surface Reduction (ASR).

Attack Surface Reduction is een onderdeel binnen Windows Defender Exploit Guard dat ondernemingen een set ingebouwde intelligentie biedt die het onderliggende gedrag dat door schadelijke documenten wordt gebruikt, kan blokkeren om aanvallen uit te voeren zonder de productbewerking te belemmeren. Door schadelijk gedrag te blokkeren, onafhankelijk van wat de bedreiging of exploit is, kan ASR ondernemingen beschermen tegen nooit eerder gezien zero-day-aanvallen zoals deze onlangs gedetecteerde beveiligingsproblemen: CVE-2017-8759, CVE-2017-11292 en CVE-2017-11826.

Voor Office-apps kan ASR het volgende doen:

  • Voorkomen dat Office-apps uitvoerbare inhoud maken
  • Voorkomen dat Office-apps het onderliggende proces starten
  • Voorkomen dat Office-apps worden geïnjecteerd in het proces
  • Win32-import vanuit macrocode blokkeren in Office
  • Verborgen macrocode blokkeren

Opkomende aanvallen, zoals DDEDownloader , maken gebruik van de DDE-pop-up (Dynamic Data Exchange) in Office-documenten om een PowerShell-downloader uit te voeren; Hierbij starten ze echter een onderligvend proces dat door de bijbehorende onderliggende procesregel wordt geblokkeerd.

Zie voor meer informatie over Windows Defender Exploit Guard Windows Defender Exploit Guard: verminder de kwetsbaarheid voor aanvallen tegen malware van de volgende generatie.

Microsoft onderzoekt dit probleem verder en zal meer informatie in dit artikel posten wanneer de informatie beschikbaar komt.