安全地開啟包含動態數據交換 (DDE) 字段的 Microsoft Office 檔
發佈時間: 2017 年 11 月 8 日 |更新日期:2018 年 1 月 9 日
版本: 3.0
執行摘要
Microsoft 正在發行此安全性諮詢,以提供 Microsoft Office 應用程式 lications 安全性設定的相關信息。 此諮詢提供用戶可執行哪些動作的指引,以確保這些應用程式在處理動態數據交換 (DDE) 欄位時受到適當保護。
關於動態數據交換
Microsoft Office 提供數種方法,可在應用程式之間傳輸數據。 DDE 通訊協定是一組訊息和指導方針。 它會在共用資料的應用程式之間傳送訊息,並使用共用記憶體在應用程式之間交換資料。 應用程式可以使用 DDE 通訊協議進行一次性數據傳輸,以及持續交換,其中應用程式會在有新數據可用時將更新傳送至彼此。
案例
在電子郵件攻擊案例中,攻擊者可以藉由將特製的檔案傳送給使用者,然後說服用戶開啟檔案,通常是透過電子郵件中的誘因來利用 DDE 通訊協定。 攻擊者必須說服使用者停用受保護的模式,然後按一或多個額外的提示。 由於電子郵件附件是攻擊者可用來傳播惡意代碼的主要方法,Microsoft 強烈建議客戶在開啟可疑的檔案附件時小心謹慎。
DDE 功能控制鍵
Microsoft Office 提供數個儲存在登錄中的功能控制機碼,並負責修改產品功能、改善業界標準的支援,以及改善安全性。 Microsoft 記載了這些功能控制密鑰,並建議基於安全性考慮啟用特定的功能控制密鑰。 請參閱下列項目:
- Office 2016: 保護和控制 Office 的存取
- Office 2013: 保護 Office 2013
Microsoft 強烈建議 Microsoft Office 的所有使用者檢閱安全性相關的功能控制密鑰,並加以啟用。 設定下列各節所述的登錄機碼,會停用從連結欄位自動更新數據。
更新 在 2017 年 12 月 12 日,Microsoft 針對所有支援的 Microsoft Word 版本發行了更新,可讓使用者根據其環境設定 DDE 通訊協定的功能。 如需詳細資訊和下載更新,請參閱 ADV170021。
2018 年 1 月 9 日, Microsoft 發行了 Microsoft Excel 所有支援版本的更新,可讓使用者根據其環境設定 DDE 通訊協定的功能。 如需詳細資訊和下載更新,請參閱 ADV170021。
減輕 DDE 攻擊案例
想要立即採取行動的使用者可以手動建立及設定 Microsoft Office 的登錄項目來保護自己。 使用下列指示,根據系統上所安裝的 Office 應用程式 lication 來設定登錄機碼。
警告:如果您使用註冊表編輯器不正確,可能會造成嚴重問題,而可能需要重新安裝操作系統。 Microsoft 無法保證您可以解決使用註冊表編輯器不正確所造成的問題。 請自行承擔使用登錄編輯程式的風險。
Microsoft 建議您先備份登錄,再對登錄專案進行任何變更。
Microsoft Excel
Excel 取決於啟動檔的 DDE 功能。
若要防止 Excel 的連結自動更新(包括 DDE、OLE 和外部數據格或定義的名稱參考),請參閱下表,以取得針對每個版本設定的登錄機碼版本字串:
| Office 版本 | 登錄機碼 <版本> 字串 |
|---|---|
| Office 2007 | 12.0 |
| Office 2010 | 14.0 |
| Office 2013 | 15.0 |
| Office 2016 | 16.0 |
- 若要透過使用者介面停用 DDE 功能:
設定 [檔案選項>->信任中心->信任中心] 設定...->活頁簿連結的外部內容安全性>設定 = 停用活頁簿連結的自動更新。 - 若要透過註冊表編輯器停用 DDE 功能:
[HKEY_CURRENT_USER\Software\Microsoft\Office\</version><version>\Excel\Security]
WorkbookLinkWarnings(DWORD) = 2
風險降低的影響:停用此功能可能會讓 Excel 電子表格在登錄中停用時動態更新。 數據可能不是完全最新狀態,因為它不再透過即時摘要自動更新。 若要更新工作表,用戶必須手動啟動摘要。 此外,使用者將不會收到提示,提醒他們手動更新工作表。
Microsoft Outlook
請參閱下表,以取得針對每個 Office 版本設定的登入機碼版本字串:
| Office 版本 | 登錄機碼 </版本> 字串 |
|---|---|
| Office 2010 | 14.0 |
| Office 2013 | 15.0 |
| Office 2016 | 16.0 |
- 針對 Office 2010 和更新版本,若要透過註冊表編輯器停用 DDE 功能:
[HKEY_CURRENT_USER\Software\Microsoft\Office\</version><version>\Word\Options\WordMail]
DontUpdateLinks(DWORD)=1
- 針對 Office 2007,若要透過註冊表編輯器停用 DDE 功能:
[HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref]
fNoCalclinksOnopen_90_1(DWORD)=1
風險降低的影響:設定此登錄機碼將會停用 DDE 欄位和 OLE 連結的自動更新。 使用者仍然可以在欄位上按下滑鼠右鍵,然後按兩下[更新欄位] 來啟用更新。
Microsoft Publisher
使用發行者檔內內內之 DDE 通訊協定的 Word 檔可能是可能的攻擊媒介。 您可以套用 Word 登錄機碼修改來協助防止此攻擊向量。 如需 Word 登錄機碼值,請參閱下一節。
Microsoft Word
如需 Microsoft Word 的更新,請參閱 ADV170021 ,讓使用者根據其環境設定 DDE 通訊協定的功能。
請參閱下表,以取得針對每個 Office 版本設定的登入機碼版本字串:
| Office 版本 | 登錄機碼 </版本> 字串 |
|---|---|
| Office 2010 | 14.0 |
| Office 2013 | 15.0 |
| Office 2016 | 16.0 |
- 針對 Office 2010 和更新版本,若要透過註冊表編輯器停用 DDE 功能:
[HKEY_CURRENT_USER\Software\Microsoft\Office\</version><version>\Word\Options]
DontUpdateLinks(DWORD)=1
- 針對 Office 2007,若要透過註冊表編輯器停用 DDE 功能:
[HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref]
fNoCalclinksOnopen_90_1(DWORD)=1
風險降低的影響:設定此登錄機碼將會停用 DDE 欄位和 OLE 連結的自動更新。 使用者仍然可以在欄位上按下滑鼠右鍵,然後按兩下[更新欄位] 來啟用更新。
Windows 10 Fall Creators Update (版本 1709)
Windows 10 Fall Creators Update 的使用者可以利用 Windows Defender 惡意探索防護來封鎖受攻擊面縮小 (ASR) 規則的 DDE 型惡意代碼。
ASR 是 Windows Defender 惡意探索防護內的元件,可為企業提供一組內建情報,可封鎖惡意檔用來執行攻擊的基礎行為,而不會妨礙產品作業。 藉由封鎖與威脅或惡意探索無關的惡意行為,ASR 可以保護企業免受從未見過的零日攻擊,例如最近發現的弱點:CVE-2017-8759、CVE-2017-11292 和 CVE-2017-11826。
針對 Office 應用程式,ASR 可以:
- 封鎖 Office 應用程式 建立可執行的內容
- 封鎖 Office 應用程式 啟動子進程
- 封鎖 Office 應用程式 插入進程
- 封鎖從 Office 中的宏程式代碼匯入 Win32
- 封鎖模糊宏程序代碼
DDEDownloader 等新興惡意探索會使用 Office 檔中的動態數據交換 (DDE) 快顯來執行 PowerShell 下載器;不過,在這樣做時,他們會啟動對應子進程規則封鎖的子進程。
Windows Defender 惡意探索防護可以與 Windows Defender 進階威脅防護 (ATP) 搭配使用,以調查和回應企業層級的安全性風險和問題。 若要深入瞭解 Windows Defender 惡意探索防護和 Windows Defender ATP,請參閱:
- Windows Defender 惡意探索防護
- Windows Defender 進階威脅防護
- 註冊適用於 Windows Defender ATP 的免費試用版
- Windows Defender 惡意探索防護:減少針對新一代惡意代碼的攻擊面
Microsoft 正在進一步研究此問題,並在資訊可供使用時,在此文章中張貼更多資訊。
其他建議的動作
- 保護您的電腦
我們繼續鼓勵客戶遵循我們的「保護您的計算機」指引,以啟用防火牆、取得軟體更新,以及安裝防病毒軟體。 如需詳細資訊,請參閱 Microsoft 保管庫 ty & 資訊安全中心。 - 讓 Microsoft 軟體更新保持更新
執行 Microsoft 軟體的使用者應套用最新的 Microsoft 安全性更新,以協助確保電腦盡可能受到保護。 如果您不確定您的軟體是否為最新狀態,請造訪 Microsoft Update、掃描您的電腦是否有可用的更新,並安裝您提供的任何高優先順序更新。 如果您已啟用自動更新並設定為提供 Microsoft 產品的更新,則更新會在發行時傳遞給您,但您應該確認它們已安裝。
其他資訊
免責聲明
本諮詢中提供的資訊是「如目前」提供,不含任何種類的擔保。 Microsoft 不表示明示或隱含的所有擔保,包括適銷性及適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都不得承擔任何損害責任,包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任,因此可能不適用上述限制。
修訂記錄
- V1.0 (2017 年 11 月 8 日):已發佈諮詢。
- V1.1 (2017 年 11 月 30 日):更新 Windows 10 Fall Creators Update 一節,其中包含攻擊面縮小 (ASR) 規則的詳細資訊。 這隻是參考性變更。
- V2.0 (2017 年 12 月 12 日):Microsoft 已針對所有支援的 Microsoft Word 版本發行更新,可讓使用者根據其環境設定 DDE 通訊協定的功能。 如需詳細資訊和下載更新,請參閱 ADV170021。
- V3.0 (2018 年 1 月 9 日):Microsoft 已針對所有支援的 Microsoft Excel 版本發行更新,可讓使用者根據其環境設定 DDE 通訊協定的功能。 如需詳細資訊和下載更新,請參閱 ADV170021。