Microsoft отключила уязвимую функцию DDE в Word

DDE (Dynamic Data Exchange) — это функция динамического обмена данными между Office-приложениями. Например, документ Word может при открытии автоматически обновлять таблицу, используя данные из документа Excel. Несмотря на то, что через уязвимость DDE еще в 1990-х распространялись трояны, компания Microsoft до последнего придерживалась позиции, что DDE сама по себе не является уязвимостью и это просто еще одна скомпрометированная функция.

Однако, после серии атак, в которых динамический обмен данными был использован несколькими злоумышленниками для установки вредоносного ПО, компания изменила свое мнение. В октябре 2017 группа исследователей интернет-безопасности SensePost опубликовала инструкцию, как динамический обмен данными может быть использован злоумышленниками. Новые методы были быстро подхвачены распространителями вредоносного ПО: сначала группой хакеров FIN7, специализировавшейся на атаках на финансовые учреждения, а затем остальными.

Первый шаг к отключению

Причиной, по которой Microsoft не связывала DDE-атаки с вопросами безопасности, являлось то, что приложения Office показывали предупреждения перед открытием файлов. В результате оказалось, что авторы зловредов в очередной раз нашли креативный способ скомпрометировать «законопослушную» функцию. Это уже было сделано с OLE и макросами, о которых Microsoft тоже выводит предупреждения перед запуском.

Первым шагом к прекращению использования функции стало то, что в середине октября компания опубликовала совет по безопасности 4053440. В нем содержались детали того, как пользователи могут самостоятельно отключить DDE в приложениях Office, таких как Word, Outlook и Excel.

Microsoft приняла решение

На прошлой неделе Microsoft предприняла уже радикальные меры — выпустила обновление, которым полностью отключила использование DDE в приложении Word. Изменение вступает в силу после установки пакета Office Defense Depth Update ADV170021. Это обновление добавляет новый ключ реестра для контроля статуса DDE. По умолчанию функция отключена. Ниже приведены возможные значения для ключа реестра:

1. В редакторе реестра перейдите в папку \ HKEY_CURRENT_USER \ Software \ Microsoft \ Office \ version \ Word \ Security AllowDDE (DWORD) 2. Задайте значение DWORD в соответствии с требованиями следующим образом:AllowDDE (DWORD) = 0: отключить DDE. Это значение используется по умолчанию после установки обновления. AllowDDE (DWORD) = 1: разрешить DDE-запросы к уже запущенной программе, но запретить DDE-запросы, для которых требуется запуск другой исполняемой программы. AllowDDE (DWORD) = 2: полностью разрешить DDE-запросы.

DDE в других продуктах Office

Microsoft уделила проблеме пристальное внимание. Компания осведомлена, что многие пользователи и предприятия до сих пор используют более старые версии Office, и выпустила экстренное обновление и для них. Пакет ADV170021 включил в себя обновления для Word 2003 и Word 2007 — двух версий, поддержка которых уже официально остановлена.

Функция DDE продолжит использоваться в Excel и Outlook. В этих программах DDE по умолчанию будет активна. Microsoft рекомендует пользователям ознакомиться с рекомендациями по безопасности Security Advisory 4053440, где подробно описаны методы отключения поддержки DDE как через графический интерфейс, так и с помощью изменения ключа реестра.