image

Microsoft schakelt DDE-feature ook uit in Excel wegens aanvallen

vrijdag 12 januari 2018, 10:07 door Redactie, 8 reacties

Microsoft heeft wegens aanvallen op gebruikers besloten om de DDE-feature ook in Excel uit te schakelen. Eerder werd dit al bij alle ondersteunde versies van Word gedaan. Dynamic Data Exchange (DDE) is een feature die aan oudere Windows-versies werd toegevoegd en nog steeds in gebruik is.

De feature maakt het mogelijk om data van bijvoorbeeld een Excel-document in een Word-document te injecteren. In het geval het Excel-document wordt bijgewerkt zal dit ook meteen in het Word-document zichtbaar zijn. De DDE-feature maakt het echter ook mogelijk om in plaats van Excel een applicatie zoals cmd.exe of Powershell aan te roepen en daarmee kwaadaardige commando's uit te voeren. De functionaliteit wordt actief door cybercriminelen gebruikt om gebruikers met malware te infecteren en Microsoft besloot eerder al voor dergelijke aanvallen te waarschuwen.

De feature werd op 12 december in Word uitgeschakeld. Een weet later liet Microsoft weten dat het maatregelen had genomen om gebruikers tegen aanvallen van de Lazarus-groep te beschermen. Details werden niet bekendgemaakt, maar mogelijk gaat het hier om het uitschakelen van de DDE-feature. Er is nu ook voor Excel een update verschenen die de feature uitschakelt. Gebruikers die de feature nodig hebben kunnen die wel weer inschakelen, zoals in de security advisory wordt uitgelegd.

Reacties (8)
12-01-2018, 10:19 door Anoniem
Ehm, in de security advisory staat dat in Excel de default-instelling ook na de update "enabled" is.

**Update: ** On 1/9/2018, Microsoft released an update for Microsoft Office that adds defense-in-depth configuration options to selectively disable the DDE protocol in all supported editions of Microsoft Excel.

Microsoft heeft de DDE-feature dus helemaal niet uitgeschakeld in Excel, maar het makkelijker gemaakt om deze feature via de registry uit te schakelen.
12-01-2018, 10:40 door MathFox
En wanneer wordt DDE in PowerPoint uitgeschakeld?

Ik vind het een halfbakken dreigingsanalyse van Microsoft om een misbruikte feature maar in een programma te fixen en in andere programma's waar die op dezelfde wijze misbruikt kan worden te laten zitten.
12-01-2018, 12:24 door karma4
Door MathFox: En wanneer wordt DDE in PowerPoint uitgeschakeld?

Ik vind het een halfbakken dreigingsanalyse van Microsoft om een misbruikte feature maar in een programma te fixen en in andere programma's waar die op dezelfde wijze misbruikt kan worden te laten zitten.
Moet Microsoft nu ook libre office gaan patchen?
12-01-2018, 15:31 door MathFox
Door karma4:Moet Microsoft nu ook libre office gaan patchen?
*zucht* PowerPoint is een onderdeel van LibreOffice?
Nee, ik verwacht dat Microsoft al haar producten patcht voor een bekend veiligheidslek.
12-01-2018, 16:37 door Anoniem
Door karma4:
Door MathFox: En wanneer wordt DDE in PowerPoint uitgeschakeld?

Ik vind het een halfbakken dreigingsanalyse van Microsoft om een misbruikte feature maar in een programma te fixen en in andere programma's waar die op dezelfde wijze misbruikt kan worden te laten zitten.
Moet Microsoft nu ook libre office gaan patchen?

nee aub niet, dan breekt de hell los en is er weer een fatsoenlijk office pakket kapot aan het gaan! maar inderdaad, het zou MS wel sieren alle DDE features in al hun office componenten meteen te fixen / disabelen toch?
13-01-2018, 17:03 door karma4
Door Anoniem: nee aub niet, dan breekt de hell los en is er weer een fatsoenlijk office pakket kapot aan het gaan! maar inderdaad, het zou MS wel sieren alle DDE features in al hun office componenten meteen te fixen / disabelen toch?
Het dde gebruik is normale data uitwisseling tussen verschillende applicaties. Voor thuis zal het niet aan de orde zijn bij integratie van vele producten in een bedrijfsomgeving met falende ICT producten waar de oplossing dat soort koppelingen is heb je een ander verhaal. Je komt veel meer van dat soort gedoe tegen dan je voor mogelijk houdt.
De security zeker op servers (oeps dat andere gangbare OS) laat flinke steken vallen.
Er lijk een soort wet van behoud van ellende te zijn. Sommigen noemen het murphy dan wel gigo of wat anders.
14-01-2018, 13:19 door Anoniem
Door karma4:
Door Anoniem: nee aub niet, dan breekt de hell los en is er weer een fatsoenlijk office pakket kapot aan het gaan! maar inderdaad, het zou MS wel sieren alle DDE features in al hun office componenten meteen te fixen / disabelen toch?
Het dde gebruik is normale data uitwisseling tussen verschillende applicaties. Voor thuis zal het niet aan de orde zijn bij integratie van vele producten in een bedrijfsomgeving met falende ICT producten waar de oplossing dat soort koppelingen is heb je een ander verhaal. Je komt veel meer van dat soort gedoe tegen dan je voor mogelijk houdt.
De security zeker op servers (oeps dat andere gangbare OS) laat flinke steken vallen.
Er lijk een soort wet van behoud van ellende te zijn. Sommigen noemen het murphy dan wel gigo of wat anders.

dus zal ik het nogmaals herhalen voor je omdat leren, aanpassen en lezen moelijk is voor verouderden:

DDE kan dus default uit staan voor thuis gebruikers en enterprise kan het vinkje met een policy aanzetten indoen nodig. Dat kan dan meteen voor word, voor powerprut en exsnell.

maargoed, prioriteren, laten we maar eerst eens meltdown en spectre goed laten patchen door MS, dat is even relevanter nu!
16-01-2018, 16:45 door -karma4
Door karma4: Er lijk een soort wet van behoud van ellende te zijn. Sommigen noemen het murphy dan wel gigo of wat anders.

Dat heet karma...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.