Desactiveu Office DDEAUTO per mitigar els atacs

Actualment, hi ha una vulnerabilitat en DDE a les aplicacions d'Office que s'exploten de forma activa en estat salvatge. DDE, o Dynamic Data Exchange, és una característica de Microsoft Office dissenyada per oferir a les aplicacions la possibilitat d’intercanviar dades entre elles.

Podeu utilitzar DDE per exemple per actualitzar una taula en un document de Word mitjançant dades Excel.

El protocol s’utilitza àmpliament, no només en aplicacions de Microsoft Office com Word o Excel, sinó també en Visual Basic i molts més.

El que fa que la vulnerabilitat sigui especialment preocupant és que no necessita macros. L’onada d’atac actual utilitza correu electrònic per distribuir documents d’Office manipulats.

Usuaris que publiquen aquests documents aconseguir indicacions d’avís a l’Office. Word, per exemple, mostra l'avís 'Aquest document conté enllaços que poden referir-se a altres fitxers. Voleu actualitzar aquest document amb les dades dels fitxers enllaçats.

ddeauto word security

La majoria d’aplicacions de seguretat no detecten cap amenaça quan es tracta d’aquests documents d’Office. Tot i que els usuaris poden protegir les seves dades si seleccionen 'no' quan es mostren les indicacions, és possible que vulgueu afegir una capa de protecció a aquests sistemes per protegir els sistemes, independentment de les opcions que els usuaris tinguin quan es trobin amb aquests documents maliciosos.

Obbviament, només és una opció si no es requereix DDE a l’entorn de treball. Tot i que sembla probable que no ho sigui a la majoria d’entorns d’inici, és possible que les empreses encara el puguin utilitzar i, per tant, no puguin desactivar-lo completament.

Desactivar DDEAuto és un fitxer de registre que es manté activat GitHub que desactiva la funcionalitat dels 'enllaços d'actualització' i els 'fitxers incrustats' als documents d'Office quan s'executen.

Cobreix Word, Excel, WordMail, OneNote i Excel, i escriu o edita les claus del Registre per afegir la protecció. Tingueu en compte que també podeu habilitar la protecció de forma manual a Office (que estableix les claus del Registre als valors del fitxer de registre).

Si, per exemple, utilitzeu Microsoft Word 2016 o Microsoft Excel 2016, seleccioneu Opcions> Avançat i traieu la marca de selecció de 'Actualitzar enllaços automàtics oberts' que es mostra al grup general de la pàgina que s'obre.

dde word

A Excel, també és possible que vulgueu comprovar 'Ignora altres aplicacions que utilitzin Dynamic Data Exchange (DDE)'.

Política de grup

Substitueix la versió d’Excel o Word de 2016 per la versió instal·lada a les màquines que administres. Tingueu en compte que cal instal·lar-hi

Per a Excel, trobareu les opcions a Plantilles administratives> Microsoft Excel 2016> Opcions Excel> Avançat.

  • Sol·liciteu actualitzar enllaços automàtics
  • Ignoreu altres aplicacions

Per a Word, les opcions es troben a Plantilles administratives> Microsoft Word 2016> Opcions de paraula> Avançat.

  • Actualitzeu els enllaços automàtics a l'Open.

Registre

A continuació, es mostra la llista de claus de registre per a Word i Excel per a la seva comoditat. Consulteu la pàgina de GitHub si voleu descarregar el fitxer del Registre.

Tingueu en compte que és possible que hàgiu de crear els valors, ja que poden no existir per defecte:

Paraula 2016

  • Ruta: HKEY_CURRENT_USER Programari Microsoft Office 16.0 Word Opcions
  • Valor: DontUpdateLinks
  • Paraula clau: 00000001
  • HKEY_CURRENT_USER Programari Microsoft Office 16.0 Word Opcions WordMail
  • Valor: DontUpdateLinks
  • Paraula clau: 00000001

Paraula 2013

  • Ruta: HKEY_CURRENT_USER Software Microsoft Office 15.0 Word Opcions
  • Valor: DontUpdateLinks
  • Paraula clau: 00000001
  • HKEY_CURRENT_USER Programari Microsoft Office 15.0 Word Opcions WordMail
  • Valor: DontUpdateLinks
  • Paraula clau: 00000001

Paraula 2010

  • Ruta: HKEY_CURRENT_USER Software Microsoft Office 14.0 Word Opcions
  • Valor: DontUpdateLinks
  • Paraula clau: 00000001
  • HKEY_CURRENT_USER Programari Microsoft Office 15.0 Word Opcions WordMail
  • Valor: DontUpdateLinks
  • Paraula clau: 00000001

Excel 2016

  • Ruta: HKEY_CURRENT_USER Programari Microsoft Office 16.0 Excel Opcions
  • Valor: DontUpdateLinks
  • Paraula clau: 00000001
  • Ruta: HKEY_CURRENT_USER Programari Microsoft Office 16.0 Excel Opcions
  • Valor: DDEA permès
  • Paraula clau: 00000000
  • Ruta: HKEY_CURRENT_USER Programari Microsoft Office 16.0 Excel Opcions
  • Valor: DDECleaned
  • Paraula clau: 00000001

Excel 2013

  • Ruta: HKEY_CURRENT_USER Programari Microsoft Office 15.0 Excel Opcions
  • Valor: DontUpdateLinks
  • Paraula clau: 00000001
  • Ruta: HKEY_CURRENT_USER Programari Microsoft Office 15.0 Excel Opcions
  • Valor: DDEA permès
  • Paraula clau: 00000000
  • Ruta: HKEY_CURRENT_USER Programari Microsoft Office 15.0 Excel Opcions
  • Valor: DDECleaned
  • Paraula clau: 00000001

Nota : El valor inferior, segons s'informa, no funciona. No tinc accés a Excel 2013 ni 2010 i no he trobat informació sobre el valor.

  • Ruta: HKEY_CURRENT_USER Programari Microsoft Office 15.0 Excel Opcions
  • Valor: Opcions
  • Paraula clau: 00000117

Excel 2010

  • Ruta: HKEY_CURRENT_USER Programari Microsoft Office 14.0 Excel Opcions
  • Valor: DontUpdateLinks
  • Paraula clau: 00000001
  • Ruta: HKEY_CURRENT_USER Programari Microsoft Office 14.0 Excel Opcions
  • Valor: DDEA permès
  • Paraula clau: 00000000
  • Ruta: HKEY_CURRENT_USER Programari Microsoft Office 14.0 Excel Opcions
  • Valor: DDECleaned
  • Paraula clau: 00000001

Nota : El valor inferior a segons no funciona. No tinc accés a Excel 2013 ni 2010 i no he trobat informació sobre el valor.

  • Ruta: HKEY_CURRENT_USER Programari Microsoft Office 14.0 Excel Opcions
  • Valor: Opcions
  • Paraula clau: 00000117

Alguns dels comentaris van afirmar que el valor correcte és 279 en lloc de 117. Intenteu-ho i mireu si funciona.