安全地開啟包含動態數據交換 (DDE) 欄位的 Microsoft Office 檔
概觀
本安全性諮詢文章提供 Microsoft Office 應用程式安全性設定的相關信息。 其提供有關使用者可以執行哪些動作的指引,以確保這些應用程式在處理動態數據交換 (DDE) 字段時受到適當保護。
關於動態數據交換
Microsoft Office 提供數種在應用程式之間傳輸數據的方法。 DDE 通訊協定是一組訊息和指導方針。 它會在共用資料的應用程式之間傳送訊息,並使用共用記憶體在應用程式之間交換資料。 應用程式可以使用 DDE 通訊協議進行一次性數據傳輸,以及在應用程式有新的數據可供使用時,在連續交換中互相傳送更新。
案例
在電子郵件攻擊案例中,攻擊者可以使用 DDE 通訊協定,方法是將特別製作的檔案傳送給使用者,然後命令使用者開啟檔案,通常是透過電子郵件中的擷取方式。 攻擊者必須確信使用者停用受保護模式,然後按一或多個其他提示。 由於電子郵件附件是攻擊者可用來散佈惡意代碼的主要方法,因此 Microsoft 強烈建議客戶在開啟可疑的檔案附件時小心謹慎。
DDE 功能控制金鑰
Microsoft Office 提供數個儲存在登錄中的功能控制密鑰,並負責修改產品功能、改善業界標準的支援,以及改善安全性。 Microsoft 已記載這些功能控制密鑰,並建議基於安全性理由啟用特定功能控制密鑰。 如需詳細資訊,請 參閱保護及控制對 Office 2016 的存取。
Microsoft 強烈建議 Microsoft Office 的所有使用者檢閱安全性相關的功能控制密鑰,並加以啟用。 設定下列各節所述的登錄機碼會停用從連結欄位自動更新數據。
降低 DDE 攻擊案例
想要立即採取行動的使用者可以手動建立並設定 Microsoft Office 的登錄項目來保護自己。 使用下列指示,根據您系統上安裝的 Office 應用程式來設定登錄機碼。
警告
如果您不正確地使用登錄 編輯器,可能會造成嚴重問題,而需要您重新安裝作業系統。 Microsoft 不保證可以解決您不當使用「登錄編輯程式」所導致的問題。 請自行承擔使用「登錄編輯程式」的一切風險。
Microsoft Excel
Excel 相依於 DDE 功能來啟動檔。
若要防止自動更新來自 Excel (包含 DDE、OLE 和外部儲存格的連結,或) 定義的名稱參考,請參閱下表,以取得要為每個版本設定的登錄機碼版本字串:
| Office 版本 | 登錄機碼 <版本> 字串 |
|---|---|
| Office 2007 | 12.0 |
| Office 2010 | 14.0 |
| Office 2013 | 15.0 |
| Office 2016 | 16.0 |
若要從使用者介面停用 DDE 功能:
移至 [檔案>選項>信任中心信任中心>設定>外部內容],設定活頁簿連結的安全性設定以停用活頁簿連結的自動更新。
若要使用登錄 編輯器 停用 DDE 功能,請新增下列登錄機碼:
位置:
HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Excel\Security
名稱:WorkbookLinkWarnings
實值類型:D WORD
值:2
注意事項
風險降低的影響:
停用這項功能可能會在登錄中停用時,防止 Excel 電子表格動態更新。 數據可能無法完全更新,因為它不再透過即時摘要自動更新。 若要更新工作表,用戶必須手動啟動摘要。 此外,使用者不會收到提示,提醒他們手動更新工作表。
Microsoft Outlook
請參閱下表,以取得要為每個 Office 版本設定的登入機碼版本字串:
| Office 版本 | 登錄機碼 <版本> 字串 |
|---|---|
| Office 2010 | 14.0 |
| Office 2013 | 15.0 |
| Office 2016 | 16.0 |
針對 Office 2010 和更新版本,若要使用登錄 編輯器 停用 DDE 功能,請新增下列登錄機碼:
位置:
HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Word\Options\WordMail
名稱:D ontUpdateLinks
類型:D WORD
值:1針對 Office 2007,若要使用登錄 編輯器 停用 DDE 功能,請新增下列登錄機碼:
位置:
HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref
名稱:fNoCalclinksOnopen_90_1
類型:D WORD
值:1
注意事項
風險降低的影響:
設定此登錄機碼將會停用 DDE 字段和 OLE 連結的自動更新。 使用者仍然可以在欄位上按下滑鼠右鍵,然後選取 [更新字段],以啟用更新。
Microsoft Publisher
在發行者檔內使用 DDE 通訊協定的 Word 檔可能是攻擊媒介。 您可以套用 Word 登錄機碼修改,以協助防止此攻擊媒介。 如需 Word 登錄機碼值,請參閱下一節。
Microsoft Word
請參閱下表,以取得要為每個 Office 版本設定的登入機碼版本字串:
| Office 版本** | 登錄機碼 <版本> 字串 |
|---|---|
| Office 2010 | 14.0 |
| Office 2013 | 15.0 |
| Office 2016 | 16.0 |
針對 Office 2010 和更新版本,若要使用登錄 編輯器 停用 DDE 功能,請新增下列登錄機碼:
位置:
HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Word\Options
名稱:D ontUpdateLinks
類型:D WORD
值:1針對 Office 2007,若要使用登錄 編輯器 停用 DDE 功能,請在登入機碼後面新增 :
位置:
HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref
名稱:fNoCalclinksOnopen_90_1
類型:D WORD
值:1
注意事項
風險降低的影響:
設定此登錄機碼將會停用 DDE 字段和 OLE 連結的自動更新。 使用者仍然可以在欄位上按下滑鼠右鍵,然後選取 [更新字段],以啟用更新。
關於 Windows 10 Fall Creator Update (版本 1709)
Windows 10 Fall Creator Update 的使用者可以使用 Windows Defender 惡意探索防護,以 ASR) (攻擊面縮小來封鎖以 DDE 為基礎的惡意代碼。
「降低攻擊面」是「Windows Defender 惡意探索防護」內的一個元件,可為企業提供一組內建情報,以封鎖惡意檔用來執行攻擊的基礎行為,而不會阻礙產品作業。 透過封鎖與威脅或惡意探索無關的惡意行為,ASR 可以保護企業免於遭受前所未見的零時差攻擊,例如最近發現的弱點: CVE-2017-8759、 CVE-2017-11292 和 CVE-2017-11826。
針對 Office 應用程式,ASR 可以:
- 禁止 Office 應用程式建立可執行內容
- 封鎖 Office 應用程式啟動子程式
- 封鎖 Office 應用程式插入進程
- 封鎖從 Office 中的宏程式代碼匯入 Win32
- 封鎖模糊化的宏程序代碼
DDEDownloader 之類的新興惡意探索會使用 Office 檔中的動態數據交換 (DDE) 快顯來執行 PowerShell 下載程式;不過,在這麼做時,它們會啟動對應子進程規則封鎖的子進程。
若要深入瞭解 Windows Defender 惡意探索防護,請參閱 Windows Defender 惡意探索防護:減少攻擊面以抵禦新一代惡意代碼。
Microsoft 正在進一步研究此問題,並在資訊可供使用時,於本文中張貼更多資訊。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應