Microsoft moet met een oplossing voor de DDE-feature in Word komen nu cybercriminelen hier gebruik van maken. De Dynamic Data Exchange (DDE) feature van Word maakt het mogelijk om data van het ene document in een tweede document te injecteren. In plaats van een document kan er ook naar het uitvoeren van kwaadaardige code worden gelinkt. DDE is een legacy Inter-Process Communication (IPC) mechanisme dat van 1987 dateert.
Het bestaat uit een protocol dat is ontworpen om berichten tussen twee applicaties uit te wisselen. In het geval van DDE wordt het verder versterkt door toegang te verlenen tot gedeeld geheugen. Microsoft Office biedt een extensie om DDE binnen documenten met externe processen te laten communiceren. Zodoende is het via DDE in een Word-document mogelijk niet alleen mogelijk om Excel aan te roepen, maar ook om via cmd.exe commando's op het systeem uit te voeren.
Securitybedrijf SensePost waarschuwde Microsoft, maar de softwaregigant stelde dat het voorlopig geen maatregelen zal nemen omdat DDE als een feature wordt beschouwd. Mogelijk zal het bij een volgende versie van Office als 'kandidaat-bug' worden aangemerkt. Een mogelijke reden hiervoor is dat gebruikers in meerdere vensters toestemming moeten geven om de code die via DDE wordt aangeroepen uit te laten voeren.
Securitybedrijf EndGame besloot naar DDE binnen Word te kijken en ontdekte een bug in de implementatie. De MSDN-documentatie over DDE stelt dat de applicatie die DDE aanroept al moet draaien. Dat blijkt echter niet het geval te zijn. Daardoor kan een kwaadaardig Word-document via DDE bijvoorbeeld cmd.exe aanroepen en zo aanvullende commando's uitvoeren. Volgens Bill Finlayson van EndGame zou Microsoft dit kunnen verhelpen door de gebruiker te vragen om de aangeroepen applicatie zelf te starten in plaats van dit automatisch te doen.
Ook kan Microsoft de tekst in de dialoogvensters aanpassen en meer security-georiënteerd maken voordat de aangeroepen applicatie wordt uitgevoerd. Finlayson wijst echter naar alle aanvallen via macro's die laten zien dat de eindgebruiker uiteindelijk elk venster doorklikt, ongeacht de gebruikte bewoording. "De juiste oplossing is dan ook om de gebruiker te vragen om de applicatie te starten voordat ze in het dialoogvenster kunnen doorklikken, en daarna Word het verzoek opnieuw te laten uitvoeren." Finlayson vindt het dan ook jammer dat Microsoft het probleem niet wil oplossen, gezien het feit dat aanvallers steeds meer van deze feature gebruikmaken.
Deze posting is gelocked. Reageren is niet meer mogelijk.