Droši atvērt Microsoft Office dokumentus, kuros ir dinamiskās datu apmaiņas (DDE) lauki

Pārskats

Šajā drošības padomdevēja rakstā ir sniegta informācija par Microsoft Office lietojumprogrammu drošības iestatījumiem. Tajā sniegti norādījumi par to, ko lietotāji var darīt, lai nodrošinātu, ka šīs lietojumprogrammas ir pareizi drošinātas, apstrādājot dinamiskās datu apmaiņas (DDE) laukus.

Par dinamisko datu apmaiņu

Microsoft Office nodrošina vairākas metodes datu pārsūtīšanai starp lietojumprogrammām. DDE protokols ir ziņojumu un vadlīniju kopa. Tas sūta ziņojumus starp lietojumprogrammām, kas koplieto datus, un izmanto koplietojamo atmiņu datu apmaiņai starp lietojumprogrammām. Lietojumprogrammas var izmantot DDE protokolu vienreizējai datu pārsūtīšanai un nepārtrauktai maiņai, kurā lietojumprogrammas nosūta atjauninājumus viena otrai, tiklīdz kļūst pieejami jauni dati.

Scenārijs

E-pasta uzbrukuma scenārijā uzbrucējs var izmantot DDE protokolu, nosūtot lietotājam īpaši izveidotu failu un pēc tam pārliecināt lietotāju atvērt failu, parasti izmantojot vilinājums e-pasta ziņojumā. Uzbrucējam ir jāpārliecina lietotājam, lai atspējotu aizsargrežīmu, un noklikšķiniet uz viena vai vairākiem papildu uzvednes. Tā kā e-pasta pielikumi ir primārā metode, ko uzbrucējs var izmantot, lai izplatītu ļaunprogrammatūru, Microsoft stingri iesaka klientiem rīkoties piesardzīgi, atverot aizdomīgus failu pielikumus.

DDE līdzekļu vadības taustiņi

Microsoft Office nodrošina vairākus līdzekļu kontroles taustiņus, kas glabājas reģistrā, un ir atbildīgi par produktu funkcionalitātes mainīšanu, nozares standartu atbalsta uzlabošanu un drošības uzlabošanu. Microsoft ir dokumentējis šos līdzekļu vadības taustiņus un iesaka iespējot specifiska līdzekļa vadības atslēgas drošības apsvērumu dēļ. Papildinformāciju skatiet šajos rakstos:

Microsoft stingri iesaka visiem Microsoft Office lietotājiem pārskatīt ar drošību saistīto līdzekļu vadības atslēgas un tās iespējot. Šajā sadaļā aprakstīto reģistra atslēgu iestatīšana atspējo automātisku datu atjaunināšanu no saistītajiem laukiem.

DDE uzbrukumu scenāriju mazināšana

Lietotāji, kuri vēlas veikt tūlītēju darbību, var sevi pasargāt, manuāli izveidojot un iestatot Microsoft Office reģistra ierakstus. Izmantojiet tālāk sniegtos norādījumus, lai iestatītu reģistra atslēgas atkarībā no sistēmā instalētajām Office lietojumprogrammām.

Brīdinājums

Ja nepareizi izmantojat reģistra redaktoru, varat izraisīt nopietnas problēmas, kuru dēļ var būt nepieciešams pārinstalēt operētājsistēmu. Microsoft nevar garantēt, ka varat novērst problēmas, kas rodas, nepareizi izmantojot reģistra redaktoru. Savā riskā Izmantojiet reģistra redaktoru.

Microsoft Excel

Programma Excel ir atkarīga no DDE līdzekļa, lai palaistu dokumentus.

Lai novērstu automātisku saišu atjaunināšanu no programmas Excel (tostarp DDE, OLE un ārējas šūnas vai definētām nosaukumu atsaucēm), skatiet tālāk norādīto tabulu reģistra atslēgas versijas virknei, lai iestatītu katrai versijai:

Office versija

Reģistra atslēgas <versija> virkne

Office 2007

12.0

Office 2010

14.0

Office 2013

15.0

Office 2016

16.0

 

  • Lai atspējotu DDE līdzekli no lietotāja interfeisa:

Dodieties uz sadaļu failu>Opcijas>drošības kontroles centra>drošības kontroles centra iestatījumi>ārējo saturu, iestatiet darbgrāmatas saišu drošību , lai atspējotu darbgrāmatas saišu automātisko atjaunināšanu.

  • Lai atspējotu DDE līdzekli, izmantojot reģistra redaktoru, pievienojiet šādu registry atslēgu:

  • Atrašanās vieta: [HKEY_CURRENT_USER \software\microsoft\office\ <versija> \excel\security]

  • vārds: WorkbookLinkWarnings

  • Vērtības tips: DWORD

  • Vērtība: 2

Ietekmes mazināšanas ietekme

Atspējojot šo līdzekli, Excel izklājlapas var netikt atjauninātas dinamiski, ja tie ir atspējoti reģistrā. Dati, iespējams, nav pilnībā atjaunināti, jo tie vairs netiek atjaunināts automātiski, izmantojot tiešo plūsmu. Lai atjauninātu darblapu, lietotājam šī plūsma ir jāstartē manuāli. Turklāt lietotājs nesaņems uzvednes, lai atgādinātu, ka manuāli jāatjaunina darblapa.

Microsoft Outlook

Lai iestatītu katrai Office versijai, skatiet tālāk norādīto tabulu par reģistra atslēgas versijas virkni:

Office versija

Reģistra atslēgas <versija> virkne

Office 2010

14.0

Office 2013

15.0

Office 2016

16.0

 

  • Ja jums ir Office 2010 un jaunākas versijas, lai atspējotu DDE līdzekli, izmantojot reģistra redaktoru, pievienojiet šādu reģistra atslēgu:

  • Atrašanās vieta: [HKEY_CURRENT_USER \software\microsoft\office\ <versija> \word\options\wordmail]

  • Nosaukums: DontUpdateLinks

  • Ierakstiet: DWORD

  • Vērtība: 1

  • Ja jums ir Office 2007, lai atspējotu DDE līdzekli, izmantojot reģistra redaktoru, pievienojiet šādu reģistra atslēgu:

  • Atrašanās vieta: [HKEY_CURRENT_USER \software\microsoft\office\12.0\word\options\vpref]

  • Nosaukums: fNoCalclinksOnopen_90_1

  • Ierakstiet: DWORD

  • Vērtība: 1

Ietekmes mazināšanas ietekme

Iestatot šo reģistra atslēgu, tiek atspējota automātiskā atjaunināšana DDE laukam un OLE saitēm. Lietotāji joprojām var iespējot atjauninājumu, ar peles labo pogu noklikšķinot uz lauka un noklikšķinot uz "atjaunināt lauku".

Microsoft Publisher

Word dokuments, kurā ir iegults DDE protokols, kas neietilpst Publisher dokumentā, var būt iespējamais uzbrukuma vektors. Jūs varat palīdzēt novērst šo uzbrukuma vektoru, lietojot Word reģistra atslēgas modifikāciju. Word reģistra atslēgas vērtībām skatiet nākamajā sadaļā.

Microsoft Word

Lai iestatītu katrai Office versijai, skatiet tālāk norādīto tabulu par reģistra atslēgas versijas virkni:

Office versija

Reģistra atslēgas <versija> virkne

Office 2010

14.0

Office 2013

15.0

Office 2016

16.0

 

  • Ja jums ir Office 2010 un jaunākas versijas, lai atspējotu DDE līdzekli , izmantojot reģistra redaktoru, pievienojiet šādu reģistra atslēgu:

  • Atrašanās vieta: [HKEY_CURRENT_USER \software\microsoft\office\ <versija> \word\options]

  • Nosaukums: DontUpdateLinks

  • Ierakstiet: DWORD

  • Vērtība: 1

  • Ja jums ir Office 2007, lai atspējotu DDE līdzekli, izmantojot reģistra redaktoru, pievienojiet šādu reģistra atslēgu:

Atrašanās vieta: [HKEY_CURRENT_USER \software\microsoft\office\12.0\word\options\vpref]

Nosaukums: fNoCalclinksOnopen_90_1

Ierakstiet: DWORD

Vērtība: 1

Ietekmes mazināšanas ietekme.

Iestatot šo reģistra atslēgu, tiek atspējota automātiskā atjaunināšana DDE laukam un OLE saitēm. Lietotāji joprojām var iespējot atjauninājumu, ar peles labo pogu noklikšķinot uz lauka un noklikšķinot uz "atjaunināt lauku"..

 

Par Windows 10 Fall Creator Update (versija 1709)

Windows 10 Fall Creator Update lietotāji var izmantot Windows Defender izmantošanas aizsargu, lai bloķētu ar DDE ļaunprātīgu ļaunprogrammatūru ar uzbrukuma Surface Reduction (ASR).

Uzbrukuma Surface Reduction ir komponents Windows Defender, kas izmanto aizsargu, kas nodrošina uzņēmumiem ar iebūvētu informācijas kopu, kas var bloķēt ļaunprātīgu dokumentu izmantotos pamatdarbībus, lai izpildītu uzbrukumus, netraucējot produkta darbību. Bloķējot ļaunprātīgu darbību neatkarīgi no tā, kas ir draudi vai izmantošana, ASR var pasargāt uzņēmumus no nekad-iepriekš neredzētos nulles dienas uzbrukumus, kā šīs nesen atklātās ievainojamība: CVE-2017-8759, CVE-2017-11292un CVE-2017-11826.

Office lietojumprogrammās ASR var:

  • Office programmu bloķēšana, lai izveidotu izpildāmu saturu

  • Office programmu bloķēšana, lai uzsāktu bērnobjektu procesu

  • Office programmu bloķēšana no injicēšanas procesa laikā

  • Win32 importēšanas bloķēšana no makro koda sistēmā Office

  • Bloķēt obfuscated aizklātā makro kodu

Potenciālie lietotāji, piemēram, DDEDownloader izmantojiet dinamiskās datu apmaiņas (DDE) popup Office dokumentos, lai palaistu PowerShell Downloader. taču, lai to izdarītu, tiek sākts bērna process, kas atbilst attiecīgajiem bērnu procesu kārtulu blokiem.

Lai uzzinātu vairāk par Windows Defender izmantošanu, skatiet rakstu Windows Defender izmanto aizsargu: samaziniet uzbrukuma virsmu pret nākamās paaudzes ļaunprogrammatūru.

Microsoft pēta šo problēmu un pēc tam publicēs papildinformāciju šajā rakstā, tiklīdz šī informācija būs pieejama.

Vai nepieciešama papildu palīdzība?

Paplašiniet savas prasmes
Iepazīties ar apmācību
Esiet pirmais, kas saņem jaunās iespējas
Pievienoties Microsoft Insider

Vai šī informācija bija noderīga?

Paldies par jūsu atsauksmēm!

Paldies par atsauksmēm! Šķiet, ka jums varētu būt noderīgi sazināties ar kādu no mūsu Office atbalsta speciālistiem.

×