Microsoft Office-documenten die DDE-velden (Dynamic Data Exchange) bevatten, veilig openen
Overzicht
Dit beveiligingsadviesartikel bevat informatie over beveiligingsinstellingen voor Microsoft Office-toepassingen. Het biedt richtlijnen voor wat gebruikers kunnen doen om ervoor te zorgen dat deze toepassingen goed worden beveiligd bij het verwerken van DDE-velden (Dynamic Data Exchange).
Over Dynamische gegevensuitwisseling
Microsoft Office biedt verschillende methoden voor het overdragen van gegevens tussen toepassingen. Het DDE-protocol is een set berichten en richtlijnen. Het verzendt berichten tussen toepassingen die gegevens delen en gebruikt gedeeld geheugen om gegevens uit te wisselen tussen toepassingen. Toepassingen kunnen het DDE-protocol gebruiken voor eenmalige gegevensoverdracht en voor continue uitwisselingen waarbij toepassingen updates naar elkaar verzenden wanneer nieuwe gegevens beschikbaar komen.
Scenario
In een scenario met een e-mailaanval kan een aanvaller het DDE-protocol gebruiken door een speciaal vervaardigd bestand naar de gebruiker te verzenden en de gebruiker vervolgens te overtuigen het bestand te openen, meestal door middel van een verleiding in een e-mail. De aanvaller moet de gebruiker overtuigen om de beveiligde modus uit te schakelen en door een of meer extra prompts te klikken. Omdat e-mailbijlagen een primaire methode zijn die een aanvaller kan gebruiken om malware te verspreiden, raadt Microsoft ten zeerste aan dat klanten voorzichtig zijn bij het openen van verdachte bestandsbijlagen.
DDE-functiebeheertoetsen
Microsoft Office biedt verschillende functiebeheersleutels die zijn opgeslagen in het register en die verantwoordelijk zijn voor het wijzigen van de productfunctionaliteit, het verbeteren van de ondersteuning voor industriestandaarden en het verbeteren van de beveiliging. Microsoft heeft deze functiebeheersleutels gedocumenteerd en raadt aan om specifieke functiebeheersleutels in te schakelen om veiligheidsredenen. Zie Toegang tot Office 2016 beveiligen en beheren voor meer informatie.
Microsoft raadt alle gebruikers van Microsoft Office sterk aan om de beveiligingsgerelateerde functiebeheersleutels te controleren en in te schakelen. Als u de registersleutels instelt die in de volgende secties worden beschreven, wordt het automatisch bijwerken van gegevens uit gekoppelde velden uitgeschakeld.
DDE-aanvalsscenario's beperken
Gebruikers die onmiddellijk actie willen ondernemen, kunnen zichzelf beschermen door handmatig registervermeldingen voor Microsoft Office te maken en in te stellen. Gebruik de volgende instructies om de registersleutels in te stellen op basis van de Office-toepassingen die op uw systeem zijn geïnstalleerd.
Waarschuwing
Als u Register Editor onjuist gebruikt, kunt u ernstige problemen veroorzaken waardoor u het besturingssysteem opnieuw moet installeren. Microsoft kan niet garanderen dat problemen die voortvloeien uit een verkeerd gebruik van Register-editor, kunnen worden opgelost. Het gebruik van de Register-editor is dan ook voor uw eigen risico.
Microsoft Excel
Excel is afhankelijk van de DDE-functie om documenten te starten.
Als u wilt voorkomen dat koppelingen vanuit Excel automatisch worden bijgewerkt (inclusief DDE, OLE en externe cel- of gedefinieerde naamverwijzingen), raadpleegt u de volgende tabel voor de versietekenreeks van de registersleutel die voor elke versie moet worden ingesteld:
| Office-versie | Versietekenreeks> registersleutel < |
|---|---|
| Office 2007 | 12.0 |
| Office 2010 | 14.0 |
| Office 2013 | 15.0 |
| Office 2016 | 16.0 |
De DDE-functie uitschakelen vanuit de gebruikersinterface:
Ga naar Bestandopties>>Vertrouwenscentrum>Instellingen>externe inhoud, stel Beveiligingsinstellingen voor Werkmapkoppelingen in op Automatisch bijwerken van werkmapkoppelingen uitschakelen.
Als u de DDE-functie wilt uitschakelen met behulp van de register-Editor, voegt u de volgende registersleutel toe:
Locatie:
HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Excel\Security
Naam: WorkbookLinkWarnings
Waardetype: DWORD
Waarde: 2
Opmerking
Impact van beperking:
Als u deze functie uitschakelt, kunnen Excel-spreadsheets niet dynamisch worden bijgewerkt als ze zijn uitgeschakeld in het register. Gegevens zijn mogelijk niet volledig up-to-date omdat ze niet meer automatisch worden bijgewerkt via livefeed. Als u het werkblad wilt bijwerken, moet de gebruiker de feed handmatig starten. Bovendien ontvangt de gebruiker geen prompts om hem/haar eraan te herinneren het werkblad handmatig bij te werken.
Microsoft Outlook
Raadpleeg de volgende tabel voor de versietekenreeks van de registersleutel die voor elke Office-versie moet worden ingesteld:
| Office-versie | Versietekenreeks> registersleutel < |
|---|---|
| Office 2010 | 14.0 |
| Office 2013 | 15.0 |
| Office 2016 | 16.0 |
Voeg voor Office 2010 en latere versies de volgende registersleutel toe om de DDE-functie uit te schakelen met behulp van de register-Editor:
Locatie:
HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Word\Options\WordMail
Naam: DontUpdateLinks
Type: DWORD
Waarde: 1Als u voor Office 2007 de DDE-functie wilt uitschakelen met behulp van de register-Editor, voegt u de volgende registersleutel toe:
Locatie:
HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref
Naam: fNoCalclinksOnopen_90_1
Type: DWORD
Waarde: 1
Opmerking
Impact van beperking:
Als u deze registersleutel instelt, wordt automatische update voor DDE-veld- en OLE-koppelingen uitgeschakeld. Gebruikers kunnen de update nog steeds inschakelen door met de rechtermuisknop op het veld te klikken en Veld bijwerken te selecteren.
Microsoft Publisher
Een Word document dat gebruikmaakt van het DDE-protocol dat is ingesloten in een Publisher-document, kan een mogelijke aanvalsvector zijn. U kunt deze aanvalsvector helpen voorkomen door de wijziging van de Word registersleutel toe te passen. Zie de volgende sectie voor de Word registersleutelwaarden.
Microsoft Word
Raadpleeg de volgende tabel voor de versietekenreeks van de registersleutel die voor elke Office-versie moet worden ingesteld:
| Office-versie** | Versietekenreeks> registersleutel < |
|---|---|
| Office 2010 | 14.0 |
| Office 2013 | 15.0 |
| Office 2016 | 16.0 |
Als u voor Office 2010 en latere versies de DDE-functie wilt uitschakelen met behulp van de register-Editor, voegt u de volgende registersleutel toe:
Locatie:
HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Word\Options
Naam: DontUpdateLinks
Type: DWORD
Waarde: 1Als u voor Office 2007 de DDE-functie wilt uitschakelen met behulp van de register-Editor, voegt u de volgende registersleutel toe:
Locatie:
HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref
Naam: fNoCalclinksOnopen_90_1
Type: DWORD
Waarde: 1
Opmerking
Impact van beperking:
Als u deze registersleutel instelt, wordt automatische update voor DDE-veld- en OLE-koppelingen uitgeschakeld. Gebruikers kunnen de update nog steeds inschakelen door met de rechtermuisknop op het veld te klikken en Veld bijwerken te selecteren.
Over Windows 10 Fall Creator Update (versie 1709)
Gebruikers van de Windows 10 Fall Creator Update kunnen Windows Defender Exploit Guard gebruiken om op DDE gebaseerde malware met Attack Surface Reduction (ASR) te blokkeren.
Kwetsbaarheid voor aanvallen verminderen is een onderdeel binnen Windows Defender Exploit Guard dat ondernemingen voorziet van een set ingebouwde intelligentie die het onderliggende gedrag kan blokkeren dat door schadelijke documenten wordt gebruikt om aanvallen uit te voeren zonder de productbewerking te belemmeren. Door schadelijk gedrag te blokkeren, onafhankelijk van wat de bedreiging of exploit is, kan ASR ondernemingen beschermen tegen nooit eerder gezien zero-day-aanvallen zoals deze onlangs gedetecteerde beveiligingsproblemen: CVE-2017-8759, CVE-2017-11292 en CVE-2017-11826.
Voor Office-apps kan ASR het volgende doen:
- Office-apps blokkeren voor het maken van uitvoerbare inhoud
- Office-apps blokkeren voor het starten van onderliggend proces
- Voorkomen dat Office-apps in het proces worden geïnjecteerd
- Win32-import uit macrocode blokkeren in Office
- Verborgen macrocode blokkeren
Opkomende aanvallen zoals DDEDownloader gebruiken de DDE-pop-up (Dynamic Data Exchange) in Office-documenten om een PowerShell-downloader uit te voeren; Hierbij starten ze echter een onderliggend proces dat door de bijbehorende onderliggende procesregel wordt geblokkeerd.
Zie Windows Defender Exploit Guard: de kwetsbaarheid voor aanvallen tegen malware van de volgende generatie verminderen voor meer informatie over Windows Defender Exploit Guard.
Microsoft onderzoekt dit probleem verder en zal meer informatie in dit artikel plaatsen zodra de informatie beschikbaar is.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor