image

Microsoft waarschuwt voor aanvallen via DDE-feature in Office

donderdag 9 november 2017, 10:31 door Redactie, 3 reacties

Microsoft heeft een waarschuwing afgegeven voor aanvallen die gebruik maken van de DDE-feature in Microsoft Office. Dynamic Data Exchange (DDE) is een feature die aan oudere Windows-versies werd toegevoegd en nog steeds op allerlei plekken wordt gebruikt.

De feature maakt het mogelijk om data van bijvoorbeeld een Excel-document in een Word-document te injecteren. In het geval het Excel-document wordt bijgewerkt zal dit ook meteen in het Word-document zichtbaar zijn. De DDE-feature maakt het echter ook mogelijk om in plaats van Excel een applicatie zoals cmd.exe of Powershell aan te roepen en daarmee kwaadaardige commando's uit te voeren.

De functionaliteit wordt actief door cybercriminelen gebruikt om gebruikers met malware te infecteren. Anti-virusbedrijf McAfee maakte dinsdag nog melding van een dergelijke aanval. In een gisteren gepubliceerde security advisory stelt Microsoft dat aanvallers het slachtoffer wel eerst moeten overtuigen om de Protected Mode van Office uit te schakelen en door één of meer vensters heen te klikken voordat de aanval kan worden uitgevoerd.

Volgens de softwaregigant moeten gebruikers dan ook alert zijn bij het openen van verdachte e-mailbijlagen. Beheerders en gebruikers kunnen daarnaast ook andere maatregelen nemen om dergelijke aanvallen tegen te gaan. Via verschillende aanpassingen aan het Windows Register kan de DDE-feature namelijk worden uitgeschakeld. Dit kan voor verschillende programma's zoals Excel, Outlook en Word worden gedaan. Gebruikers van de Windows 10 Fall Creator Update kunnen daarnaast de Windows Defender Exploit Guard gebruiken om DDE-gebaseerde malware blokkeren.

Reacties (3)
09-11-2017, 13:20 door Bitwiper
Door Redactie: Via verschillende aanpassingen aan het Windows Register kan de DDE-feature namelijk worden uitgeschakeld. Dit kan voor verschillende programma's zoals Excel, Outlook en Word worden gedaan.
En waar (linkje) staat beschreven hoe? Bij Microsoft kan ik er niks over vinden (maar dat kan aan mij liggen).

Wel zie ik in https://www.ghacks.net/2017/10/23/disable-office-ddeauto-to-mitigate-attacks/ zinvolle tips, ook in de comments eronder.

Daar valt ook te lezen dat bij een veilige instelling Excel niet meer start als op een .xls of .xlsx file in Windows Verkenner/Explorer dubbelklikt. De oorzaak daarvan is (dit is info uit het register die Verkenner gebruikt om te bepalen wat er moet gebeuren als je op een bestand dubbelklikt, in dit geval op een PC met Office 2016, in vet steeds de commando's die ik intikte):
C:\>assoc .xls
.xls=Excel.Sheet.8

C:\>ftype excel.sheet.8
excel.sheet.8="C:\Program Files (x86)\Microsoft Office\Root\Office16\EXCEL.EXE" /dde

C:\>assoc .xlsx
.xlsx=Excel.Sheet.12

C:\>ftype excel.sheet.12
excel.sheet.12="C:\Program Files (x86)\Microsoft Office\Root\Office16\EXCEL.EXE" /dde

C:\>assoc .xlsm
.xlsm=Excel.SheetMacroEnabled.12

C:\>ftype Excel.SheetMacroEnabled.12
Excel.SheetMacroEnabled.12="C:\Program Files (x86)\Microsoft Office\Root\Office16\EXCEL.EXE" /dde

Met andere woorden, als je op een Excel file in verkenner klikt wordt nog steeds DDE gebruikt om Excel te starten. Mogelijk is dit bedoeld voor de (m.i. irritante) eigenschap dat, als Excel al draait, er geen nieuwe instantie van Excel gestart wordt, maar de sheet in een eigen deelvenster wordt geopend. Wat mij in oudere versies van Excel al verschillende keren tot gegevensverlies heeft geleid, omdat ik Excel (net als Word) met Alt-F4 afsloot en me niet realiseerde dat "wil je wijzigingen op slaan" op een heel andere sheet sloeg dan ik voor ogen had (andere MS Office applicaties werkten en werken wel zoals ik verwachte, en Excel tegenwoordig ook - maar kennelijk via een trucje waardoor het lijkt dat er meerdere instances draaien, en niet 1 enkel MDI (Multiple Document Interface) programma).

Iets dat je deels uit kunt zetten, gedocumenteerd in https://support.microsoft.com/en-us/help/3165211/how-to-force-excel-to-open-in-a-new-instance-by-default, maar ook dat werkt niet als je op een bestand dubbelklikt in verkenner, vermoedelijk omdat die via DDE met Excel praat:
If you use File Open within the Excel application or double-click a file in Windows Explorer, the files will still open in the same instance as designed.

Heeft iemand ervaring met het wijzigen van die "ftype" relaties waardoor de bestandsnaam als parameter (%1) wordt overgedragen i.p.v. met DDE?
09-11-2017, 13:49 door [Account Verwijderd]
Heeft het zin om altijd de applicatie zelf te starten, in dit voorbeeld Excel, in plaats van Excel aanroepen door een Excelbestand te dubbelklikken (of enkel klikken naar gelang je instellingen) en dan vanuit de applicatie zelf een te openen bestand kiezen?
Volgens mij doet niemand dat meer, of bij uitzondering als men toevallig niet weet waar een bestand is opgeslagen en uiteraard uitgezonderd het aanmaken van een nieuw bestand.
11-11-2017, 16:55 door Anoniem
jammer dat dit weer default niet uitgeschakeld stond. net als SMBv1. keer op keer. daarom is MS laakbaar.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.