Udostępnij za pośrednictwem

Bezpieczne otwieranie dokumentów pakietu Microsoft Office zawierających pola dynamicznego programu Data Exchange (DDE)

  • Dotyczy: Outlook, Exchange

Przegląd

Ten artykuł z poradami dotyczącymi zabezpieczeń zawiera informacje dotyczące ustawień zabezpieczeń dla aplikacji pakietu Microsoft Office. Zawiera wskazówki dotyczące tego, co użytkownicy mogą zrobić, aby upewnić się, że te aplikacje są prawidłowo zabezpieczone podczas przetwarzania pól dynamicznej wymiany danych (DDE).

Informacje o dynamicznym programie Data Exchange

Pakiet Microsoft Office udostępnia kilka metod przesyłania danych między aplikacjami. Protokół DDE to zestaw komunikatów i wytycznych. Wysyła komunikaty między aplikacjami, które współużytkują dane, i używa pamięci udostępnionej do wymiany danych między aplikacjami. Aplikacje mogą używać protokołu DDE do jednorazowego transferu danych i ciągłej wymiany, w której aplikacje wysyłają aktualizacje do siebie w miarę udostępniania nowych danych.

Scenariusz

W scenariuszu ataku w wiadomości e-mail osoba atakująca może użyć protokołu DDE, wysyłając do użytkownika specjalnie spreparowany plik, a następnie przekonując użytkownika do otwarcia pliku, zazwyczaj w drodze zachęty w wiadomości e-mail. Osoba atakująca musiałaby przekonać użytkownika do wyłączenia trybu chronionego i kliknięcia co najmniej jednego dodatkowego monitu. Ponieważ załączniki wiadomości e-mail są podstawową metodą, której osoba atakująca może użyć do rozprzestrzeniania złośliwego oprogramowania, firma Microsoft zdecydowanie zaleca klientom zachowanie ostrożności podczas otwierania podejrzanych załączników plików.

Klucze kontroli funkcji DDE

Pakiet Microsoft Office udostępnia kilka kluczy kontroli funkcji, które są przechowywane w rejestrze i są odpowiedzialne za modyfikowanie funkcji produktu, ulepszanie obsługi standardów branżowych i zwiększanie bezpieczeństwa. Firma Microsoft udokumentowała te klucze sterowania funkcjami i zaleca włączenie określonych kluczy kontroli funkcji ze względów bezpieczeństwa. Aby uzyskać więcej informacji, zobacz Zabezpieczanie i kontrolowanie dostępu do pakietu Office 2016.

Firma Microsoft zdecydowanie zachęca wszystkich użytkowników pakietu Microsoft Office do przeglądania kluczy kontroli funkcji związanych z zabezpieczeniami i włączania ich. Ustawienie kluczy rejestru opisanych w poniższych sekcjach powoduje wyłączenie automatycznej aktualizacji danych z połączonych pól.

Łagodzenie scenariuszy ataków DDE

Użytkownicy, którzy chcą podjąć natychmiastowe działania, mogą się chronić, ręcznie tworząc i ustawiając wpisy rejestru dla pakietu Microsoft Office. Skorzystaj z poniższych instrukcji, aby ustawić klucze rejestru na podstawie aplikacji pakietu Office zainstalowanych w systemie.

Ostrzeżenie

Jeśli używasz rejestru Redaktor niepoprawnie, może to spowodować poważne problemy, które mogą wymagać ponownej instalacji systemu operacyjnego. Firma Microsoft nie może zagwarantować, że rozwiązanie problemów spowodowanych niepoprawnym użyciem Edytora rejestru będzie możliwe. Używanie Edytora rejestru odbywa się na własną odpowiedzialność.

Microsoft Excel

Program Excel zależy od funkcji DDE do uruchamiania dokumentów.

Aby zapobiec automatycznej aktualizacji linków z programu Excel (w tym DDE, OLE i odwołań do komórek zewnętrznych lub nazw zdefiniowanych), zapoznaj się z następującą tabelą, w przypadku których ciąg wersji klucza rejestru jest ustawiany dla każdej wersji:

Wersja pakietu Office Ciąg wersji> klucza <rejestru
Office 2007 12.0
Office 2010 14.0
Office 2013 15.0
Office 2016 16.0

  • Aby wyłączyć funkcję DDE z interfejsu użytkownika:

    Przejdź do pozycji Ustawieniacentrum zaufania Centrum>>zaufaniaOpcje>pliku>Zawartość zewnętrzna, ustaw ustawienia zabezpieczeń dla linków skoroszytu, aby wyłączyć automatyczną aktualizację linków skoroszytu.

  • Aby wyłączyć funkcję DDE przy użyciu Redaktor rejestru, dodaj następujący klucz rejestru:

    Lokalizacja: HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Excel\Security
    Nazwa: WorkbookLinkWarnings
    Typ wartości: DWORD
    Wartość: 2

Uwaga

Wpływ ograniczenia ryzyka:

Wyłączenie tej funkcji może uniemożliwić dynamiczne aktualizowanie arkuszy kalkulacyjnych programu Excel, jeśli są wyłączone w rejestrze. Dane mogą nie być całkowicie aktualne, ponieważ nie są już aktualizowane automatycznie za pośrednictwem kanału informacyjnego na żywo. Aby zaktualizować arkusz, użytkownik musi uruchomić kanał informacyjny ręcznie. Ponadto użytkownik nie otrzyma monitów, aby przypomnieć mu o ręcznej aktualizacji arkusza.

Microsoft Outlook

Zapoznaj się z następującą tabelą, aby uzyskać ciąg wersji klucza rejestru, który ma zostać ustawiony dla każdej wersji pakietu Office:

Wersja pakietu Office Ciąg wersji> klucza <rejestru
Office 2010 14.0
Office 2013 15.0
Office 2016 16.0

  • W przypadku pakietu Office 2010 i nowszych wersji, aby wyłączyć funkcję DDE przy użyciu Redaktor rejestru, dodaj następujący klucz rejestru:

    Lokalizacja: HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Word\Options\WordMail
    Nazwa: DontUpdateLinks
    Typ: DWORD
    Wartość: 1

  • W przypadku pakietu Office 2007, aby wyłączyć funkcję DDE przy użyciu Redaktor rejestru, dodaj następujący klucz rejestru:

    Lokalizacja: HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref
    Nazwa: fNoCalclinksOnopen_90_1
    Typ: DWORD
    Wartość: 1

Uwaga

Wpływ ograniczenia ryzyka:

Ustawienie tego klucza rejestru spowoduje wyłączenie automatycznej aktualizacji pola DDE i linków OLE. Użytkownicy nadal mogą włączyć aktualizację, klikając prawym przyciskiem myszy pole i wybierając pozycję "Aktualizuj pole".

Microsoft Publisher

Dokument Word przy użyciu protokołu DDE, który jest przekazywany w dokumencie programu Publisher, może być możliwym wektorem ataku. Możesz zapobiec temu wektorowi ataku, stosując modyfikację klucza rejestru Word. Zapoznaj się z następującą sekcją, aby zapoznać się z wartościami klucza rejestru Word.

Microsoft Word

Zapoznaj się z następującą tabelą, aby uzyskać ciąg wersji klucza rejestru, który ma zostać ustawiony dla każdej wersji pakietu Office:

Wersja pakietu Office** Ciąg wersji> klucza <rejestru
Office 2010 14.0
Office 2013 15.0
Office 2016 16.0

  • W przypadku pakietu Office 2010 i nowszych wersji, aby wyłączyć funkcję DDE przy użyciu Redaktor rejestru, dodaj następujący klucz rejestru:

    Lokalizacja: HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Word\Options
    Nazwa: DontUpdateLinks
    Typ: DWORD
    Wartość: 1

  • W przypadku pakietu Office 2007, aby wyłączyć funkcję DDE przy użyciu Redaktor rejestru, dodaj następujący klucz rejestru:

    Lokalizacja: HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref
    Nazwa: fNoCalclinksOnopen_90_1
    Typ: DWORD
    Wartość: 1

Uwaga

Wpływ ograniczenia ryzyka:

Ustawienie tego klucza rejestru spowoduje wyłączenie automatycznej aktualizacji pola DDE i linków OLE. Użytkownicy nadal mogą włączyć aktualizację, klikając prawym przyciskiem myszy pole i wybierając pozycję "Aktualizuj pole".

Informacje o Windows 10 Fall Creator Update (wersja 1709)

Użytkownicy Windows 10 Fall Creator Update mogą używać funkcji Windows Defender Exploit Guard do blokowania złośliwego oprogramowania opartego na protokole DDE przy użyciu funkcji zmniejszania obszaru ataków (ASR).

Attack Surface Reduction to składnik w ramach Windows Defender Exploit Guard, który zapewnia przedsiębiorstwom zestaw wbudowanych analiz, które mogą blokować podstawowe zachowania używane przez złośliwe dokumenty do przeprowadzania ataków bez utrudniania działania produktu. Blokując złośliwe zachowania niezależne od zagrożeń lub luk w zabezpieczeniach, usługa ASR może chronić przedsiębiorstwa przed nigdy wcześniej niewidzałymi atakami zero-day, takimi jak te niedawno wykryte luki w zabezpieczeniach: CVE-2017-8759, CVE-2017-11292 i CVE-2017-11826.

W przypadku aplikacji pakietu Office usługa ASR może:

  • Blokuj aplikacjom pakietu Office możliwość tworzenia zawartości wykonywalnej
  • Blokowanie uruchamiania procesu podrzędnego przez aplikacje pakietu Office
  • Blokowanie wstrzyknięć aplikacji pakietu Office do procesu
  • Blokuj importowanie win32 z kodu makr w pakiecie Office
  • Blokuj zaciemniony kod makra

Pojawiające się luki w zabezpieczeniach, takie jak DDEDownloader , używają wyskakującego okienka Dynamiczna wymiana danych (DDE) w dokumentach pakietu Office w celu uruchomienia pobierania programu PowerShell; Jednak w ten sposób uruchamiają proces podrzędny, który blokuje odpowiednia reguła procesu podrzędnego.

Aby dowiedzieć się więcej na temat Windows Defender Exploit Guard, zobacz Windows Defender Exploit Guard: Reduce the attack surface against next-generation malware (Windows Defender Exploit Guard: Zmniejszanie obszaru ataków na złośliwe oprogramowanie nowej generacji).

Firma Microsoft dokładniej bada ten problem i opublikuje więcej informacji w tym artykule, gdy informacje staną się dostępne.