В октябре 2017 года ИБ-специалисты привлекли внимание к проблеме, связанной с использованием старой технологии Microsoft Dynamic Data Exchange (DDE), которая позволяет одним приложениям Office загружать данные из других приложений. К примеру, таблица в файле Word может автоматически обновляться при каждом открытии файла, и данные будут «подтягиваться» из файла Excel.
Специалисты предупреждали, что DDE, по сути, позволяет встроить в документ кастомное поле, в котором можно задать местоположение данных, которые следует подгружать. Проблема в том, что злоумышленники могут использовать DDE не для открытия других приложений Office, а для запуска командной строки и выполнения вредоносного кода. Такая методика может стать для атакующих отличной альтернативой вредоносным макросам и Object Linking and Embedding (OLE).
Вскоре стало ясно, что специалисты не ошиблись с прогнозами. Один из крупнейших ботнетов мира, Necurs, насчитывающий более 6 млн зараженных машин, начал эксплуатировать DDE для распространения шифровальщика Locky и банковского трояна TrickBot. Еще одна вредоносная кампания, использующая DDE, распространяет загрузчик Hancitor, который затем используется для установки банковских троянов, спайвари, вымогательского ПО и других угроз. Специалисты Cisco Talos обнаружили, что DDE-атаки применяются в ходе вредоносной кампании, цель которой — распространение «бесфайлового» трояна DNSMessenger. И аналитики компании McAfee сообщили, что DDE уже взяли на вооружение и правительственные хакеры из небезызвестной группировки Fancy Bear (они же APT28, Sednit, Pawn Storm, Strontium и так далее).
Начиная с октября разработчики Microsoft отвечали на все предупреждения ИБ-специалистов заявлениями, что DDE – это легитимная функция, которой не требуются никакие патчи и изменения. В компании подчеркивали, что для успешного срабатывания DDE-атак пользователь должен самостоятельно отключить Protected Mode и закрыть несколько подсказок и предостережений, сообщающих об обновлении файлов из удаленных источников.
Но уже в ноябре разработчики Microsoft пошли на небольшие уступки, опубликовав бюллетень безопасности посвященный проблеме. В документе специалисты подробно объяснили, как нужно защищаться от DDE-атак и предотвращать их.
Теперь декабрьский «вторник обновлений» принес патч ADV170021, который наконец подвел окончательную черту под этой проблемой. Исправление отключает использование DDE для Word вообще. Учитывая широкую распространенность проблемы, патч был представлен даже для Word 2003 и 2007, чья поддержка уже давно прекращена.
В сущности, данное обновление вносит небольшие изменения в реестр, деактивируя DDE по умолчанию. Чтобы включить функциональность обратно нужно найти в реестре \HKEY_CURRENT_USER\Software\Microsoft\Office\version\Word\Security AllowDDE(DWORD) и задать для DWORD соответствующе значение:
AllowDDE(DWORD) = 0: Отключает DDE. После установки обновления, это значение стоит по умолчанию.
AllowDDE(DWORD) = 1: Разрешает DDE-запросы к уже запущенным программам, но не допускает запуска новых.
AllowDDE(DWORD) = 2: Разрешает любые DDE-запросы.
