Bezpieczne otwieranie dokumentów pakietu Microsoft Office zawierających pola dynamicznej wymiany danych (DDE, Dynamic Data Exchange)

Omówienie

Ten artykuł z poradnikiem zabezpieczeń zawiera informacje dotyczące ustawień zabezpieczeń aplikacji pakietu Microsoft Office. Zawiera wskazówki dotyczące tego, co użytkownicy mogą robić, aby zapewnić poprawne zabezpieczenie tych aplikacji podczas przetwarzania pól DDE (Dynamic Data Exchange).

Dynamiczna wymiana danych — informacje

Pakiet Microsoft Office oferuje kilka metod przesyłania danych między aplikacjami. Protokół DDE jest zestawem wiadomości i wskazówek. Wysyła on wiadomości między aplikacjami, które współużytkują dane, oraz używa współużytkowanej pamięci do wymiany danych między aplikacjami. Aplikacje mogą korzystać z protokołu DDE do przesyłania danych jednorazowych oraz do wymiany ciągłej, w której aplikacje wysyłają aktualizacje do siebie nawzajem, ponieważ nowe dane stają się dostępne.

Scenariusz

W scenariuszu ataku za pośrednictwem poczty e-mail osoba atakująca może skorzystać z protokołu DDE, wysyłając specjalnie spreparowany plik do użytkownika, a następnie nakłaniając użytkownika do otwarcia pliku, zazwyczaj na podstawie enticement w wiadomości e-mail. Osoba atakująca musiałaby przekonać użytkownika do wyłączenia trybu chronionego i kliknąć jeden lub kilka dodatkowych monitów. Jako załączniki wiadomości e-mail to metoda, której osoba atakująca może wykorzystać do rozprzestrzeniania się złośliwego oprogramowania, firma Microsoft zdecydowanie zaleca klientom zachowanie ostrożności podczas otwierania podejrzanych załączników.

Klawisze sterowania funkcją DDE

Pakiet Microsoft Office oferuje kilka kluczy kontrolnych funkcji przechowywanych w rejestrze, które są odpowiedzialne za modyfikowanie funkcji produktu, zwiększanie obsługi standardów branżowych i zwiększanie bezpieczeństwa. Firma Microsoft zaprosiła te klucze sterowania funkcjami i zaleca włączenie konkretnych kluczy sterowania funkcjami ze względów bezpieczeństwa. Aby uzyskać więcej informacji, zobacz następujące artykuły:

Firma Microsoft zdecydowanie zachęca wszystkich użytkowników pakietu Microsoft Office do przejrzenia kluczy kontrolnych funkcji związanych z zabezpieczeniami i włączenia ich. Ustawienie kluczy rejestru opisanych w poniższych sekcjach powoduje wyłączenie automatycznej aktualizacji danych z połączonych pól.

Ograniczanie scenariuszy ataku DDE

Użytkownicy, którzy chcą przejąć natychmiastowe działania, mogą chronić się przede wszystkim przez ręczne tworzenie i Ustawianie wpisów rejestru dla pakietu Microsoft Office. Aby ustawić klucze rejestru oparte na aplikacjach pakietu Office zainstalowanych w systemie, wykonaj poniższe instrukcje.

Ostrzeżenie

Nieprawidłowe użycie Edytora rejestru może spowodować poważne problemy, które mogą wymagać ponownego zainstalowania systemu operacyjnego. Firma Microsoft nie może zagwarantować, że możesz rozwiązać problemy powodujące niepoprawne korzystanie z edytora rejestru. Korzystanie z edytora rejestru na własną odpowiedzialność.

Program Microsoft Excel

Program Excel zależy od funkcji DDE do uruchamiania dokumentów.

Aby zapobiec automatycznej aktualizacji linków z programu Excel (w tym funkcji DDE, OLE i komórek zewnętrznych lub zdefiniowanych nazw), zapoznaj się z poniższą tabelą dotyczącą ciągu wersji klucza rejestru, który należy ustawić dla każdej wersji:

Wersja pakietu Office

Klucz rejestru <wersja> String

Pakiet Office 2007

12.0

Pakiet Office 2010

14.0

Office 2013

15.0

Office 2016

16.0

 

  • Aby wyłączyć funkcję DDE z interfejsu użytkownika:

Przejdź do opcji>plików>Centrum zaufania>Ustawienia Centrum zaufania>zawartości zewnętrznej, Ustaw Ustawienia zabezpieczeń dla linków skoroszytu , aby wyłączyć automatyczne aktualizowanie linków skoroszytu.

  • Aby wyłączyć funkcję DDE przy użyciu Edytora rejestru, Dodaj następujący klawisz registry :

  • Lokalizacja: [HKEY_CURRENT_USER \software\microsoft\office\ <wersja> \excel\security]

  • Nazwę WorkbookLinkWarnings

  • Typ wartości: Ostatnie

  • Wartość: 2

Wpływ łagodzenia

Wyłączenie tej funkcji może uniemożliwić dynamiczne aktualizowanie arkuszy kalkulacyjnych programu Excel, jeśli są one wyłączone w rejestrze. Dane mogą nie być całkowicie aktualne, ponieważ nie są już automatycznie aktualizowane za pośrednictwem usługi Live Feed. Aby zaktualizować arkusz, użytkownik musi ręcznie uruchomić kanał informacyjny. Ponadto użytkownik nie będzie otrzymywać monitów o ręczne zaktualizowanie arkusza w celu przypomnienia.

Program Microsoft Outlook

W poniższej tabeli przedstawiono parametry wersji klucza rejestru ustawiane dla każdej wersji pakietu Office:

Wersja pakietu Office

Klucz rejestru <wersja> String

Pakiet Office 2010

14.0

Office 2013

15.0

Office 2016

16.0

 

  • W przypadku pakietu Office 2010 i nowszych wersji aby wyłączyć funkcję DDE przy użyciu Edytora rejestru, Dodaj następujący klucz rejestru:

  • Lokalizacja: [HKEY_CURRENT_USER \software\microsoft\office\ <wersja> \word\options\wordmail]

  • Nazwa: DontUpdateLinks

  • Typ: DWORD

  • Wartość: 1

  • W przypadku pakietu Office 2007 wyłączenie funkcji DDE przy użyciu Edytora rejestru powoduje dodanie następującego klucza rejestru:

  • Lokalizacja: [HKEY_CURRENT_USER \software\microsoft\office\12.0\word\options\vpref]

  • Nazwa: fNoCalclinksOnopen_90_1

  • Typ: DWORD

  • Wartość: 1

Wpływ łagodzenia

Ustawienie tego klucza rejestru spowoduje wyłączenie automatycznych aktualizacji dla pól DDE i łączy OLE. Użytkownicy nadal mogą włączyć aktualizację, klikając pole prawym przyciskiem myszy, a następnie klikając polecenie "Aktualizuj pole".

Program Microsoft Publisher

Dokument programu Word używający protokołu DDE, który jest imbedded w dokumencie programu Publisher, może być możliwym kierunkiem ataku. Możesz zapobiec temu kierunkowi ataku, stosując modyfikację klucza rejestru programu Word. Zapoznaj się z poniższą sekcją wartości kluczy rejestru programu Word.

Program Microsoft Word

W poniższej tabeli przedstawiono parametry wersji klucza rejestru ustawiane dla każdej wersji pakietu Office:

Wersja pakietu Office

Klucz rejestru <wersja> String

Pakiet Office 2010

14.0

Office 2013

15.0

Office 2016

16.0

 

  • W przypadku pakietu Office 2010 i nowszych wersji aby wyłączyć funkcję DDE przy użyciu Edytora rejestru, Dodaj następujący klucz rejestru:

  • Lokalizacja: [HKEY_CURRENT_USER \software\microsoft\office\ <wersja> \word\options]

  • Nazwa: DontUpdateLinks

  • Typ: DWORD

  • Wartość: 1

  • W przypadku pakietu Office 2007 wyłączenie funkcji DDE przy użyciu Edytora rejestru powoduje dodanie następującego klucza rejestru:

Lokalizacja: [HKEY_CURRENT_USER \software\microsoft\office\12.0\word\options\vpref]

Nazwa: fNoCalclinksOnopen_90_1

Typ: DWORD

Wartość: 1

Wpływ łagodzenia:

Ustawienie tego klucza rejestru spowoduje wyłączenie automatycznych aktualizacji dla pól DDE i łączy OLE. Użytkownicy nadal mogą włączyć aktualizację, klikając pole prawym przyciskiem myszy, a następnie klikając polecenie "Aktualizuj pole"..

 

Informacje o aktualizacji programu Creator (wersja 1709) z systemem Windows 10

Użytkownicy aktualizacji z systemem Windows 10 w wersji dla twórców mogą skorzystać z funkcji Windows Defender Exploit Guard, aby zablokować złośliwe oprogramowanie na podstawie funkcji redukcji obszaru ataków (ASR).

Zmniejszenie obszaru ataków to składnik usługi Windows Defender Exploit Guard, który dostarcza przedsiębiorstwom zestaw wbudowanych analiz, które mogą blokować podstawowe zachowania stosowane przez złośliwe dokumenty w celu wykonywania ataków bez przeszkód w pracy nad produktem. Blokując złośliwe zachowania, niezależnie od tego, co to jest zagrożenie lub wykorzystanie, można chronić przedsiębiorstwa przed niewidocznymi atakami zero-dniowymi, takimi jak ostatnio wykryte luki: CVE-2017-8759, CVE-2017-11292i CVE-2017-11826.

W przypadku aplikacji pakietu Office funkcja ASR może:

  • Blokowanie tworzenia zawartości wykonywalnej przez aplikacje pakietu Office

  • Blokowanie procesu podrzędnego uruchamianie aplikacji pakietu Office

  • Blokowanie iniekcji aplikacji pakietu Office do procesu

  • Blokowanie importu Win32 z kodu makr w pakiecie Office

  • Blokowanie niezaciemnianego kodu makr

Nowe luki w zabezpieczeniach, takie jak DDEDownloader , wykorzystują menu podręczne dynamicznej wymiany danych (DDE) w dokumentach pakietu Office do uruchamiania programu PowerShell. Jednak w ten sposób uruchamia proces podrzędny, który odpowiada tym, które bloki reguły procesu podrzędnego.

Aby uzyskać więcej informacji na temat usługi Windows Defender Exploit Guard, zobacz Windows Defender Exploit Guard — zmniejszanie powierzchni ataku na oprogramowanie do następnej generacji.

Firma Microsoft jeszcze raz przeszuka ten problem i opublikuje dodatkowe informacje w tym artykule, gdy informacje staną się dostępne.

Potrzebna dalsza pomoc?

Rozwijaj swoje umiejętności
Poznaj szkolenia
Uzyskuj nowe funkcje w pierwszej kolejności
Dołącz do niejawnych testerów firmy Microsoft

Czy te informacje były pomocne?

Dziękujemy za opinię!

×