Компания Microsoft приняла решение отключить DDE в Word - «Новости»
Переносы, переработки и потеря талантов: сотрудники Bethesda Game Studios предупредили, чем увольнения в студии обернутся для The Elder Scrolls VI - «Новости сети»
Переносы, переработки и потеря талантов: сотрудники Bethesda Game Studios предупредили, чем увольнения в студии обернутся для The Elder Scrolls VI - «Новости сети»
OpenAI выпустила GPT-5.6 и научила ChatGPT выполнять многоэтапные рабочие задачи в режиме Wor - «Новости сети»
OpenAI выпустила GPT-5.6 и научила ChatGPT выполнять многоэтапные рабочие задачи в режиме Wor - «Новости сети»
Игроки Subnautica 2 тонут в 3829 раз чаще американцев и другая интересная статистика раннего доступа - «Новости сети»
Игроки Subnautica 2 тонут в 3829 раз чаще американцев и другая интересная статистика раннего доступа - «Новости сети»
США заставят Samsung и SK hynix последовать примеру Micron и выпускать память в стране - «Новости сети»
США заставят Samsung и SK hynix последовать примеру Micron и выпускать память в стране - «Новости сети»
SpaceX бьёт рекорды: в 36-й раз запустила одну ступень Falcon 9 и вывела почти 1600 спутников Starlink за полгода - «Новости сети»
SpaceX бьёт рекорды: в 36-й раз запустила одну ступень Falcon 9 и вывела почти 1600 спутников Starlink за полгода - «Новости сети»
Авторитетный инсайдер прояснил, когда выйдет The Elder Scrolls VI - «Новости сети»
Авторитетный инсайдер прояснил, когда выйдет The Elder Scrolls VI - «Новости сети»
Сюжетное дополнение Revelations к Doom: The Dark Ages стартовало в Steam с «очень положительными» отзывами и полной русской локализацией - «Новости сети»
Сюжетное дополнение Revelations к Doom: The Dark Ages стартовало в Steam с «очень положительными» отзывами и полной русской локализацией - «Новости сети»
Ampera напечатала на 3D-принтере малый ториевый реактор для питания дата-центров - «Новости сети»
Ampera напечатала на 3D-принтере малый ториевый реактор для питания дата-центров - «Новости сети»
NVIDIA втихую сделала платформу Omniverse бесплатной, но есть нюанс - «Новости сети»
NVIDIA втихую сделала платформу Omniverse бесплатной, но есть нюанс - «Новости сети»
Власти Индии потребовали от Telegram в течение 15 дней принять решительные меры по борьбе с распространением пиратского контента - «Новости сети»
Власти Индии потребовали от Telegram в течение 15 дней принять решительные меры по борьбе с распространением пиратского контента - «Новости сети»
Новости мира Интернет » Новости » Компания Microsoft приняла решение отключить DDE в Word - «Новости»

В октябре 2017 года ИБ-специалисты привлекли внимание к проблеме, связанной с использованием старой технологии Microsoft Dynamic Data Exchange (DDE), которая позволяет одним приложениям Office загружать данные из других приложений. К примеру, таблица в файле Word может автоматически обновляться при каждом открытии файла, и данные будут «подтягиваться» из файла Excel.


Специалисты предупреждали, что DDE, по сути, позволяет встроить в документ кастомное поле, в котором можно задать местоположение данных, которые следует подгружать. Проблема в том, что злоумышленники могут использовать DDE не для открытия других приложений Office, а для запуска командной строки и выполнения вредоносного кода. Такая методика может стать для атакующих отличной альтернативой вредоносным макросам и Object Linking and Embedding (OLE).


Вскоре стало ясно, что специалисты не ошиблись с прогнозами. Один из крупнейших ботнетов мира, Necurs, насчитывающий более 6 млн зараженных машин, начал эксплуатировать DDE для распространения шифровальщика Locky и банковского трояна TrickBot. Еще одна вредоносная кампания, использующая DDE, распространяет загрузчик Hancitor, который затем используется для установки банковских троянов, спайвари, вымогательского ПО и других угроз. Специалисты Cisco Talos обнаружили, что DDE-атаки применяются в ходе вредоносной кампании, цель которой — распространение «бесфайлового» трояна DNSMessenger. И аналитики компании McAfee сообщили, что DDE уже взяли на вооружение и правительственные хакеры из небезызвестной группировки Fancy Bear (они же APT28, Sednit, Pawn Storm, Strontium и так далее).


Начиная с октября разработчики Microsoft отвечали на все предупреждения ИБ-специалистов заявлениями, что DDE – это легитимная функция, которой не требуются никакие патчи и изменения. В компании подчеркивали, что для успешного срабатывания DDE-атак пользователь должен самостоятельно отключить Protected Mode и закрыть несколько подсказок и предостережений, сообщающих об обновлении файлов из удаленных источников.


Но уже в ноябре разработчики Microsoft пошли на небольшие уступки, опубликовав бюллетень безопасности посвященный проблеме. В документе специалисты подробно объяснили, как нужно защищаться от DDE-атак и предотвращать их.


Теперь декабрьский «вторник обновлений» принес патч ADV170021, который наконец подвел окончательную  черту под этой проблемой. Исправление отключает использование DDE для Word вообще. Учитывая широкую распространенность проблемы, патч был представлен даже для Word 2003 и 2007, чья поддержка уже давно прекращена.


В сущности, данное обновление вносит небольшие изменения в реестр, деактивируя DDE по умолчанию. Чтобы включить функциональность обратно нужно найти в реестре HKEY_CURRENT_USERSoftwareMicrosoftOfficeversionWordSecurity AllowDDE(DWORD) и задать для DWORD соответствующе значение:


AllowDDE(DWORD) = 0: Отключает DDE. После установки обновления, это значение стоит по умолчанию.

AllowDDE(DWORD) = 1: Разрешает DDE-запросы к уже запущенным программам, но не допускает запуска новых.

AllowDDE(DWORD) = 2: Разрешает любые DDE-запросы.


Источник новостиgoogle.com

В октябре 2017 года ИБ-специалисты привлекли внимание к проблеме, связанной с использованием старой технологии Microsoft Dynamic Data Exchange (DDE), которая позволяет одним приложениям Office загружать данные из других приложений. К примеру, таблица в файле Word может автоматически обновляться при каждом открытии файла, и данные будут «подтягиваться» из файла Excel. Специалисты предупреждали, что DDE, по сути, позволяет встроить в документ кастомное поле, в котором можно задать местоположение данных, которые следует подгружать. Проблема в том, что злоумышленники могут использовать DDE не для открытия других приложений Office, а для запуска командной строки и выполнения вредоносного кода. Такая методика может стать для атакующих отличной альтернативой вредоносным макросам и Object Linking and Embedding (OLE). Вскоре стало ясно, что специалисты не ошиблись с прогнозами. Один из крупнейших ботнетов мира, Necurs, насчитывающий более 6 млн зараженных машин, начал эксплуатировать DDE для распространения шифровальщика Locky и банковского трояна TrickBot. Еще одна вредоносная кампания, использующая DDE, распространяет загрузчик Hancitor, который затем используется для установки банковских троянов, спайвари, вымогательского ПО и других угроз. Специалисты Cisco Talos обнаружили, что DDE-атаки применяются в ходе вредоносной кампании, цель которой — распространение «бесфайлового» трояна DNSMessenger. И аналитики компании McAfee сообщили, что DDE уже взяли на вооружение и правительственные хакеры из небезызвестной группировки Fancy Bear (они же APT28, Sednit, Pawn Storm, Strontium и так далее). Начиная с октября разработчики Microsoft отвечали на все предупреждения ИБ-специалистов заявлениями, что DDE – это легитимная функция, которой не требуются никакие патчи и изменения. В компании подчеркивали, что для успешного срабатывания DDE-атак пользователь должен самостоятельно отключить Protected Mode и закрыть несколько подсказок и предостережений, сообщающих об обновлении файлов из удаленных источников. Но уже в ноябре разработчики Microsoft пошли на небольшие уступки, опубликовав бюллетень безопасности посвященный проблеме. В документе специалисты подробно объяснили, как нужно защищаться от DDE-атак и предотвращать их. Теперь декабрьский «вторник обновлений» принес патч ADV170021, который наконец подвел окончательную черту под этой проблемой. Исправление отключает использование DDE для Word вообще. Учитывая широкую распространенность проблемы, патч был представлен даже для Word 2003 и 2007, чья поддержка уже давно прекращена. В сущности, данное обновление вносит небольшие изменения в реестр, деактивируя DDE по умолчанию. Чтобы включить функциональность обратно нужно найти в реестре HKEY_CURRENT_USERSoftwareMicrosoftOfficeversionWordSecurity AllowDDE(DWORD) и задать для DWORD соответствующе значение: AllowDDE(DWORD) = 0: Отключает DDE. После установки обновления, это значение стоит по умолчанию. AllowDDE(DWORD) = 1: Разрешает DDE-запросы к уже запущенным программам, но не допускает запуска новых. AllowDDE(DWORD) = 2: Разрешает любые DDE-запросы. Источник новости - google.com

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Смотрите также

А что там на главной? )))



Комментарии )))