Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Översikt
Den här säkerhetsrekommendationen innehåller information om säkerhetsinställningar för Microsoft Office-program. Den ger vägledning om vad användare kan göra för att säkerställa att dessa program skyddas korrekt när DDE-fält (Dynamic Data Exchange) bearbetas.
Om Dynamic Data Exchange
Microsoft Office tillhandahåller flera metoder för att överföra data mellan program. DDE-protokollet är en uppsättning meddelanden och riktlinjer. Den skickar meddelanden mellan program som delar data och använder delat minne för att utbyta data mellan program. Program kan använda DDE-protokollet för engångsdataöverföringar och för kontinuerliga utbyten där program skickar uppdateringar till varandra när nya data blir tillgängliga.
Scenario
I ett scenario med en e-postattack kan en angripare använda DDE-protokollet genom att skicka en särskilt utformad fil till användaren och sedan övertyga användaren att öppna filen, vanligtvis genom en lockelse i ett e-postmeddelande. Angriparen måste övertyga användaren att inaktivera skyddat läge och klicka sig igenom en eller flera ytterligare frågor. Eftersom e-postbilagor är en primär metod som en angripare kan använda för att sprida skadlig kod rekommenderar Microsoft starkt att kunderna är försiktiga när de öppnar misstänkta filbilagor.
DDE-funktionskontrollnycklar
Microsoft Office tillhandahåller flera funktionskontrollnycklar som lagras i registret och som ansvarar för att ändra produktfunktioner, förbättra stödet för branschstandarder och förbättra säkerheten. Microsoft har dokumenterat dessa funktionskontrollnycklar och rekommenderar att du aktiverar specifika funktionskontrollnycklar av säkerhetsskäl. Mer information finns i Skydda och kontrollera åtkomsten till Office 2016.
Microsoft uppmuntrar starkt alla användare av Microsoft Office att granska säkerhetsrelaterade funktionskontrollnycklar och aktivera dem. Om du anger registernycklarna som beskrivs i följande avsnitt inaktiveras automatisk uppdatering av data från länkade fält.
Minimera DDE-attackscenarier
Användare som vill vidta omedelbara åtgärder kan skydda sig genom att manuellt skapa och ange registerposter för Microsoft Office. Använd följande instruktioner för att ange registernycklarna baserat på office-programmen som är installerade på systemet.
Varning
Om du använder Registry Editor felaktigt kan du orsaka allvarliga problem som kan kräva att du installerar om operativsystemet. Microsoft kan inte garantera att du kan lösa problem som beror på felaktig användning av Registereditorn. Använd Registereditorn på egen risk.
Microsoft Excel
Excel är beroende av DDE-funktionen för att starta dokument.
Om du vill förhindra automatisk uppdatering av länkar från Excel (inklusive DDE, OLE och externa cellreferenser eller definierade namnreferenser) läser du följande tabell för registernyckelns versionssträng som ska anges för varje version:
| Office-version | Versionssträng för registernyckel <> |
|---|---|
| Office 2007 | 12.0 |
| Office 2010 | 14.0 |
| Office 2013 | 15.0 |
| Office 2016 | 16.0 |
Så här inaktiverar du DDE-funktionen från användargränssnittet:
Gå till Filalternativ>>Säkerhetscenter Säkerhetscenter>Inställningar>Externt innehåll, ställ in Säkerhetsinställningar för Arbetsbokslänkar till Inaktivera automatisk uppdatering av arbetsbokslänkar.
Om du vill inaktivera DDE-funktionen med hjälp av registry-Editor lägger du till följande registernyckel:
Plats:
HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Excel\Security
Namn: WorkbookLinkWarnings
Värdetyp: DWORD
Värde: 2
Obs!
Effekt av riskreducering:
Om du inaktiverar den här funktionen kan det förhindra att Excel-kalkylblad uppdateras dynamiskt om de är inaktiverade i registret. Data kanske inte är helt uppdaterade eftersom de inte längre uppdateras automatiskt via livefeed. Om du vill uppdatera kalkylbladet måste användaren starta feeden manuellt. Dessutom får användaren inga uppmaningar om att påminna dem om att uppdatera kalkylbladet manuellt.
Microsoft Outlook
Se följande tabell för versionssträngen för registernyckeln som ska anges för varje Office-version:
| Office-version | Versionssträng för registernyckel <> |
|---|---|
| Office 2010 | 14.0 |
| Office 2013 | 15.0 |
| Office 2016 | 16.0 |
För Office 2010 och senare versioner lägger du till följande registernyckel för att inaktivera DDE-funktionen med hjälp av Registry Editor:
Plats:
HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Word\Options\WordMail
Namn: DontUpdateLinks
Typ: DWORD
Värde: 1För Office 2007 lägger du till följande registernyckel för att inaktivera DDE-funktionen med hjälp av Registry Editor:
Plats:
HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref
Namn: fNoCalclinksOnopen_90_1
Typ: DWORD
Värde: 1
Obs!
Effekt av riskreducering:
Om du anger den här registernyckeln inaktiveras automatisk uppdatering för DDE-fält och OLE-länkar. Användarna kan fortfarande aktivera uppdateringen genom att högerklicka på fältet och välja "Uppdatera fält".
Microsoft Publisher
Ett Word dokument som använder DDE-protokollet som är inbäddat i ett Publisher-dokument kan vara en möjlig attackvektor. Du kan förhindra den här attackvektorn genom att använda Word ändring av registernyckeln. Se följande avsnitt för Word registernyckelvärden.
Microsoft Word
Se följande tabell för versionssträngen för registernyckeln som ska anges för varje Office-version:
| Office-version** | Versionssträng för registernyckel <> |
|---|---|
| Office 2010 | 14.0 |
| Office 2013 | 15.0 |
| Office 2016 | 16.0 |
För Office 2010 och senare versioner lägger du till följande registernyckel för att inaktivera DDE-funktionen med hjälp av Registry Editor:
Plats:
HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Word\Options
Namn: DontUpdateLinks
Typ: DWORD
Värde: 1För Office 2007 lägger du till följande registernyckel för att inaktivera DDE-funktionen med hjälp av Registry Editor:
Plats:
HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref
Namn: fNoCalclinksOnopen_90_1
Typ: DWORD
Värde: 1
Obs!
Effekt av riskreducering:
Om du anger den här registernyckeln inaktiveras automatisk uppdatering för DDE-fält och OLE-länkar. Användarna kan fortfarande aktivera uppdateringen genom att högerklicka på fältet och välja "Uppdatera fält".
Om Windows 10 Fall Creator Update (version 1709)
Användare av Windows 10 Fall Creator Update kan använda Windows Defender Exploit Guard för att blockera DDE-baserad skadlig kod med Attack Surface Reduction (ASR).
Minskning av attackytan är en komponent i Windows Defender Exploit Guard som ger företag en uppsättning inbyggd intelligens som kan blockera underliggande beteenden som används av skadliga dokument för att utföra attacker utan att hindra produktdrift. Genom att blockera skadliga beteenden oberoende av vad hotet eller kryphålet är kan ASR skydda företag från aldrig tidigare sedda nolldagarsattacker som dessa nyligen upptäckta sårbarheter: CVE-2017-8759, CVE-2017-11292 och CVE-2017-11826.
För Office-appar kan ASR:
- Blockera Office-appar från att skapa körbart innehåll
- Blockera Office-appar från att starta underordnad process
- Blockera Office-appar från att matas in i processen
- Blockera Win32-importer från makrokod i Office
- Blockera dold makrokod
Nya kryphål som DDEDownloader använder DDE-popup-fönstret (Dynamic Data Exchange) i Office-dokument för att köra en PowerShell-nedladdning. När de gör det startar de dock en underordnad process som motsvarande underordnade processregel blockerar.
Mer information om Windows Defender Exploit Guard finns i Windows Defender Exploit Guard: Minska attackytan mot nästa generations skadlig kod.
Microsoft undersöker problemet ytterligare och publicerar mer information i den här artikeln när informationen blir tillgänglig.