Zijn er andere mogelijkheden bekend om hier tegen beschermd te zijn?

In https://blog.nviso.be/2017/10/11/detecting-dde-in-ms-office-documents/ kun je Yara rules vinden die je bijv. in ClamAV kunt gebruiken (https://blog.nviso.be/2017/02/14/hunting-with-yara-rules-and-clamav/).

De momenteel laatste update vind je in https://blog.nviso.be/2017/10/12/yara-dde-rules-dde-command-execution-observed-in-the-wild/.

Ik heb hier zelf overigens nooit iets mee gedaan en ben benieuwd naar ervaringen van collega's die dit wel ervaring hebben met Yara rules (vooral in combinatie met ClamAV).

Ja, b.v. Libre Office gebruiken.

Natuurlijk kun je daarover van mening verschillen maar het is jammer dat het mooiste office pakket (is mijn persoonlijke mening) voortdurend geteisterd wordt door shit.
Maar ook: Het DDE protocol is wat ik ervan weet een Microsoft System protocol, dus dan denk ik dat in een open-source office pakket zoals Libre-Office (dat ik bijvoorbeeld gebruik) deze malware dus óók uitgevoerd kan worden onder Windows....of sla ik de plank nu helemaal mis?

https://youtu.be/6PHfA8C9Jmo

Als ik "[Tutorial] About DDE and OLE objects" uit 2008 lees (https://forum.openoffice.org/en/forum/viewtopic.php?f=7&t=1550) zou het mij niet verbazen als LibreOffice ook nog DDE ondersteunt (maar verder heb ik hier geen aanwijzingen voor).

Belangrijkste bescherming zit bij de gebruiker. Geen documenten openen waar niets van te verwachten is anders dan pishing. Zie artikel. Zoiets zou bekend moeten zijn "I love yuo". Gebruikers die er zelf een bende van maken daar is geen kruid tegen gewassen.

Ik denk dat het voor een deel een erfenis is van grotendeels ontwikkeld zijn in een tijd dat alles wat maar dynamisch kon als een vooruitgang werd beschouwd zonder dat men zich nog al te veel zorgen maakte over de security-implicaties daarvan. Ik vermoed dat men zich nu vermoedelijk behoorlijk in bochten moet wringen om backwards compatibel te blijven en toch die shit die je noemt in te dammen.
DDE is een voorloper uit Windows 2.0 van OLE/ActiveX, een mooi voorbeeld van zo'n erfenis. Het wordt, voor zover ik zo snel her en der oppik, wel ondersteund in Open/LibreOffice maar is deprecated, iets dat ze willen afbouwen dus. Of het goed werkt weet ik niet (ik gebruik het nooit), maar er is minstens één bug die ze bij LibreOffice niet oplossen omdat het deprecated is.

Mijn mening over zoiets ouds: zet de ondersteuning standaard uit en geef gebruikers de mogelijkheid het aan te zetten, liefst zo selectief mogelijk. Microsoft heeft zich vaker huiverig getoond om dat soort stappen te nemen, mijn indruk is dat als er maar een kleine groep gebruikers over is die er last van kan hebben het vrijwel onbespreekbaar is om die te confronteren met een handeling om het weer aan te zetten, zelfs als dat iedereen kwetsbaar maakt voor een beveiligingsprobleem. "Het is een feature", is in dit geval kennelijk de reactie van Microsoft geweest, en dat past denk ik in dat beeld.

dat is net zo redenering als een wapen die niet de oorzaak is maar een mens in america. ook hier weer: denk aan een rennende kleuter met een scherpe schaar. is de kleuter schuld? is de schaar schuld? of ligt er een verantwoordelijkheid bij de ouders? kortom je opmerking is weer kort door de bocht en haalt elke verantwoordelijkheid in dit geheel bij een (falende) fabrikant weg. het blijven hangen in een wilde westen en iedre voor zich mentaliteit dus. erg conservatief en op zijn minst naief.

Niet tegen DDE, wel tegen de uitvoering van de scripts of payload.

- blokkeer powershell console voor eindgebruikers
- doe aan script en exe whitelisting, blokkeer de rest
- gebruik anti-malware op basis van ML/AI
- SentinelOne
- CylanceProtect
- EndGame
- Sophos InterceptX / Invincea
- Symantec Endpoint Protection 14
(vergeet de rest van de AV scanners)

Microsoft: "Olé Oleé, Ooooleeeé Oleé Olé Oleé, wie aar duh tjempion, wie aar duh tjèeeeeempion, Olé Oleé".

Yep, the champignon van wat?
Gedoe.

Maar je ben wel een succel als je in dit soort visjhing trapt.

Ik meen uit het screenshot op te kunnen maken dat in elk geval voor MS-Word onder Windows kwetsbaar is maar welke versie(s) van Windows dan en is het ook van toepassing voor MS-Word onder MacOS?

Nope ik ben bijvoorbeeld fel tegen die NRA invloed en de volgelingen die er achter aan lopen. Met alles fake nieuws te benoemen en het als gevaar voor het volk af te doen heb je de weg naar het dictatorisme.

Het is de manier van squeeler om dat zo te spelen.
Niet een positief figuur.
Ik zie je de zelfde werkwijze hanteren. Uit het hogere belang van iedereen is gelijk moet er bepaald iets doorgevoerd worden.

Er is een verantwoordelijkheid voor de fabrikant
Er is een rol voor wetgevende en handhavend macht
Er is een rol voor de gebruiker.

Zou wat moois zijn als de autofabrikant zelf wegen aanlegt bepaalt wie er achter het stuur mag zitten en waar je naar toe gaat. Dat heet een dystopyi omnicratie

Terug naar DDE. Het is een typisch eind gebruikers iets voor shadow ict. Waar de gewone ict faalt in een behoorlijke dienstverlening mogen eindgebruikers dat zelf proberen op te lossen met eigen desktop tools.
DDE heb I'm zo waargenomen eind jaren 80. Het werd toen gebracht als de oplossing voor ict problematiek ofwel het gebrek aan behoorlijke integratie met functies.

Dat het nog steeds bestaat en gebruikt wordt is triest. Het betekent dat dat onderliggende probleem of steeds niet opgepakt wordt. Overigens begreep ik al niet waarom het eind jaren 80 zo doorliep naar beginjaren 2000.
https://en.m.wikipedia.org/wiki/Dynamic_Data_Exchange

Com zit in Veel commerciële professionele producten ingekapseld. DDE voor office is typisch haal de cellen uit spreadsheet zus en zo op en verwerk die hier.
Je moest eens weten hoeveel er op die manier verknüpft is.

"
** Er is een verantwoordelijkheid voor de fabrikant **
Er is een rol voor wetgevende en handhavend macht
Er is een rol voor de gebruiker.

"

bedoel je nu te zeggen dat in de toekomst een fabrikant zoals MS ook een aandeel en verantwoordlijkheid heeft? om bijvoorbeeld niet alles default open en aan bij installatie te doen? denk aan smb?

ander goed bedoeld advies: perk je posts eens in en to-the-point. ik merk meer en meer dat ik je 'verhalen' gewoonweg skip en over sla :).

Ik vind het heel knap van jou dat je zulke moeilijke woorden kent, waar ik -als simpele ziel- niets van begrijp (Google ook niet trouwens).

Maar ik neem aan dat je, met de eerste zin hierboven, de fabrikant bedoelt die ons nog steeds DDE door de strot douwt onder het mom van feature i.p.v. bug, zijnde Microsoft?

ja vreemd, terwijl vaak genoeg blijkt dat ie niet goed kan lezen :).

Je hebt als simpele ziel duidelijk weinig ICT bedrijfservaring.

DDE is voor thuisgebruik niet echt nodig net zo min als office. Of wil je zeggen dat jij je LP verzameling er in gezet hebt ede kook recepten want zonder een computer kan zoiets niet meer..
Eind jaren 80 was het IBM die dit soort zaken doordrukte. Je kan er CA nog bij noemen als opkoper van veel kleintjes. Dure producten die nooit niet alles konden leveren. De gangbare oplossing laat de gebruiker het buiten de ICT om zelf oplossen onder andere met office DDE. Push die medewerker om zoiets thuis zelf te leren dan hoef je er ook geen opleidingskosten voor te reserveren. Vanuit IBM natuurlijk de promotie om alles van microsoft te bashen want OS/2 is het zalig makende.

In de huidige tijd zie je naast IBM SAP Oracle HP Siemens Gemalto Vasco en nog wat meer van die grote namen het ICT beleid voor de grote organisatie bepalen. Je kan er nog wat adviesbureaus en dienstverleners naast zetten. In de zorg met de his leveranciers zie een zelfde ontwikkeling net zoals ooit vluchtreservingen iedere maatschappij zelf deed. Nu alles bij een paar leveranciers buiten de deur zit (eg Amadeus). . Denk dan eens aan BRP en UWV wat naast ABN/AMRO redelijk bekend is en je kijkt een beetje mee met dat spel.

Bij al die grote pakketten zit dan 'zo'n handige export functie ten behoeve van dat wat je nu net niet zou willen.
De projectleider en verkoper en de interne beslisser vinden het prachtig want de glans van een behaald project verdient.
Een desktop, je zou er niet van afhankelijk moeten willen zijn.

Kijk eens naar het kleinbedrijf en je ziet daar de desktop/laptop als het enige ICT hulpmiddel. Veel bedrijfjes zijn afhankelijk gemaakt van de spreadsheet met al zijn koppelingen. Schuld van MS zie ik niet, schuld bij ICT faal hazen des te meer.

De desktop fanaten met een eigen geloof maken het er niet beter op. Ze komen niet met een oplossing voor dat gebrek aan ICT functionaliteit integendeel ze veroorzaken nog meer chaos en ellende door een bepaalde blindheid.
Toevoeging:
https://www.nytimes.com/2017/10/02/books/review/world-without-mind-franklin-foer.html

Microsoft verkoopt al vele jaren "Office Home&Student" en sinds kort ook "Office Home" dat scholieren min of meer verplicht moeten gebruiken (maar dat laatste is een andere discussie).

Maar stel dat je gelijk hebt dat je thuis geen DDE nodig hebt, 2 vragen:
1) Waarom ondersteunt Office Home (&Student) dat dan?
2) Hoe zet je het uit?

Dat zijn goeie vragen.
ad 1/ Ik zie vaak dezelfde producten soms wat kreupel gemaakt onder een andere licentie verkocht worden.
Omdat het exact hetzelfde product is en komt het gewoon mee.
Als doelstelling studenten klaar maken voor het bedrijfsleven waar dat her en de in de processen zit wordt dat als voordeel gezien.

ad 2/ Wat je doel: Technische uitzetten of het gewoon niet gebruiken.
Technisch: https://msdn.microsoft.com/en-us/library/windows/desktop/ms648775(v=vs.85).aspx Ik zie niets dat houvast biedt. Andersom zoeken "fail DDE"geeft wel wat. Excel heeft onder instellingen geavanceerd zie ik een optie om DDE uit te zetten.
https://answers.microsoft.com/en-us/office/forum/office_2013_release-excel/dde-transaction-failed/10539a36-21c6-4e75-91e8-62545cea68ae Ik kom nog de hele uitleg van message base tegen https://msdn.microsoft.com/en-us/library/windows/desktop/ms648774%28v=vs.85%29.aspx?f=255&MSPPError=-2147217396

Bij MS-Word niets, ergerlijk ik ooit veel tijd gespendeerd aan plugins. Hebbes https://support.office.com/en-us/article/View-manage-and-install-add-ins-in-Office-programs-16278816-1948-4028-91E5-76DCA5380F8D#ID0EAABAAA=2016,_2013,_2010 Het heet nu Vetrouwenscentrum. Er zullen vast ook registersleutels voor zijn. Daar ben ik niet mee bezig.

Wat je ziet bij de klachten als het niet werkt is:
... mail-merge, ophalen externe beursdata etc.
ben je weer terug met vraag 1. Het is vaak zo makkelijk om er zoiets te bouwen.

Ik ben met die end-user benaderingen niet blij, zou ze liever kwijt zijn. Voor een klein bedrijf het zij zo (kosten baten functionaliteit). Wat vaak naar is zijn de oude ingebakken limieten zoals Jet/Mdac op maximaal 255 kolommen.
Doet me ook denken aan de hyperlinks. Ook die werken overal in alle tools. Kun je ook nauwelijks er uit krijgen en als je dat gaat proberen in de applicaties dan loop je vast. Een firewall met IP filtering is een betere benadering.

Ik zag de vraag of het in libre-office zit. https://help.libreoffice.org/Calc/Spreadsheet_Functions
Dat is zinvol als je gebruikers veel op de desktop laat automatiseren.

Goed te lezen dat je jouw eerdere bewering "DDE is voor thuisgebruik niet echt nodig net zo min als office" hiermee ontkracht hebt.

Als cybercriminelen jouw suggestie "gewoon niet gebruiken" al lezen, betwijfel ik of ze dat zullen doen...

Het probleem van de TS in de laatste URL is dat Excel op een andere computer (via het netwerk dus), na een update van W7, niet meer werkt als DDE Server. Nb. onder W8.1 werkt het, volgens de vraagsteller, kennelijk nog wel. Lang leve Microsoft's dwangneurose om zoveel mogelijk features in te bakken - en nadat enkelen dat zijn gaan gebruiken, te ontdekken dat features ook security risico's met zich meebrengen - "what could possibly go wrong". En na de eerste exploits eerst roepen "it's a feature, not a bug" om later (na onnodige slachtoffers), in een deel van de gevallen, alsnog te zwichten. Of zoals in dit voorbeeld, onbedoeld features uitschakelen door de een of andere update "vergeten" te testen.

Anyway, kennelijk kun je in Excel de DDE server functionaliteit uitzetten. Bereinteressant, maar de discussie op deze security.nl pagina gaat over MS Word als DDE client.

En waar zie jij daarin staan hoe je DDE uitzet? Dat was nl. mijn vraag.

Zucht.

De issue hier is dat Microsoft Word, als DDE client, de volgende instructies uitvoert (uit https://sensepost.com/blog/2017/macro-less-code-exec-in-msword/):
en (in principe niet automatisch bij openen van het document, maar met een truc blijkt dat toch mogelijk):
Dat heeft niets met add-ins of plugins te maken, dit is functionaliteit in Word zelf (als ik me niet vergis werd die functionaliteit ooit gebruikt door o.a. MathType equation editor van Design Science, die als DDE server werkte).

Microsoft heeft een gigantisch track-record van functionaliteit toevoegen "ondat het kan", zonder over de risico's na te denken of zelfs naar waarschuwingen te luisteren (voorbeelden: MSIE, ActiveX/OCX). En, nadat sommige leveranciers en gebruikers dergelijke (deels niche-) functionaliteit zijn gaan benutten, dit niet meer terug durft te draaien. Daardoor zitten we nu met een enorme legacy gatenkaas. Zodra dit lek gedicht wordt, dient binnen de kortste keren het volgende lek zich aan (zie bijv. http://pwndizzle.blogspot.com.es/2017/03/office-document-macros-ole-actions-dde.html).

Ik ben geen "Linux-adept" en heb ook geen blinde Microsoft haat. Maar ik kan het slecht hebben als jij onvoorwaardelijk Microsoft verdedigt. En jij bij elk lek in hun software, iedereen en alles erbij betrekt of zelfs de schuld geeft (inclusief thuisgebruikers, OSS-makers en bedrijven die niets met zo'n specfiek lek te maken hebben), maar nooit toegeeft dat het om een fout van Microsoft gaat.

Mocht je een lijntje naar Nadella hebben, vraag hem dan om ASAP een schakelaartje in MS Word te maken, dat default uit staat, waarmee die paar promille mensen die MS Word wel als DDE client gebruiken, dat aan kunnen zetten. Want zolang Office documenten hetzelfde kunnen als non-sandboxed executable code, zijn ze net zo ongeschikt om bijv. via e-mail met anderen te worden uitgewisseld als .exe files.

Ik heb geen lijntje naar Nadella of binding met Microsoft.

De kern van mijn betoog is:
- DDE is de motor als oplossing voor falende ICT diensten Ga kijken bij boekhouding Actuariaat management support waar de beleidszaken opgesteld worden en bijvoorbeeld jaarverslagen voor een bedrijf opgesteld worden.
Het is niet Microsoft die dat soort werkmethoden voorstelt en invoert dat zijn anderen zoals de "gebruikers" (gebruiker context CEO). Dat is waar het argument vandaan komt: doe het maar zoals het kan als het niet gaat zoals het moet.

- Security van informatie is een randvoorwaarde voor de bedrijfsvoering het is niet de kern er van.
Is de keus teruggebracht tot bedrijfsvoering stil leggen of de informatieveiligheid op orde houden dan moet je met dat laatste heel sterk staan dat het bedrijf onherstelbaar onderuit gaat als je doorgaat. Zo niet dan zal de keus zijn om de bedrijfsvoering door te laten gaan.

Heb je een argument tegen deze algemene uitgangspunten dan hoor ik het graag.

Vind je dat DDE SMB of wat voor techniek de verkeerde invulling is dan moet je dat met kostenplaatjes alternatieven etc in een verbetertraject aangeven. Dat begint bij het gebruik in kaart te brengen. Alleen de boodschap "het is fout" brengt niets.
DDE is al heel oud net als SOA. Het meest moderne nu is: https://en.wikipedia.org/wiki/Microservices Verrassend genoeg exact de zelfde principes. Met Devops heb je een trial en error bouw en operatie weg. Opvallend security ontbreekt (zoals gewoonlijk).

Overigens deze zelfde strategie met externe dienstverleners van alles laten bepalen is juist in de serveromgevingen een groot probleem. De beste stappen zijn
1/ Erkenning van die problemen. Advies: kom los van die technische details ,schakel naar gebruik.
2/ gedegen kennis als internen of echte onafhankelijken voor de verbeteringen.

No comment

Wat links waarom:
https://wiki.scn.sap.com/wiki/display/ABAP/Excel+with+SAP+-+An+overview
https://www.sap.com/products/data-analysis-microsoft-bi.html
http://www.oracle.com/webfolder/technetwork/tutorials/obe/fmw/bi/biee/r1013/bi_addin/bi_office.htm
https://www.ibm.com/support/knowledgecenter/en/SSYGQH_4.5.0/connectors/enduser/c_ms_plugins_office.html
Bij IBM zie je "Please note that DISQUS operates this forum." Staat me bij dat die onlang een flink datalek hadden.
[urlhttps://www.ibm.com/support/knowledgecenter/en/SSWU4L/Reporting/imc_Reporting/01_Installation_and_Setup_-_Excel_add-in44.html[/url] watson ofwel big data analytics en je bent in mijn wereld.
Wil je open source: https://en.wikipedia.org/wiki/RExcel

Het is overal het zelfde analyses zijn gewenst en vaak gewoon veriest maar je ziet de ICT afdelingen afhaken dan wel blokkerend zijn. Het resultaat is shadow-ICT en dat te vaak voor bedrijfskritische gegevens en privacy gevoelige zaken.
Campaign management is typisch iets van marketing. Die automatiseren zelf wel iets, als het maar werkt. (DDE included)

Lijkt mij niet !
Hoe kan een gebruiker nou op uiterlijkheden onderscheiden of iets deugt of niet ? Als de aanvaller enigszins zijn best doet wordt dat voor een niet-technische gebruiker onbegonnen werk. Dat is wel anders indien de gebruiker te volgzaam is en braaf een instructie als "format C:" opvolgt, maar daar gaat het hier niet echt om.

En als MS Windows nou eens alleen de uitvoering van programmatuur toestond wanneer die op een beschermd deel van het bestandsysteem staat en toevoeging/wijziging van programmatuur daar alleen toestond indien een administrator dat toestaat (of andere afscherming), dan mag alle narigheid langskomen zonder gevolg. Toch echt bizar dat niet een dergelijke policy gewoongoed is.

Prima, en in deze zou je van een verantwoordelijk gebruiker, een goede gebruiker, verwachten dat die hogere eisen stelt aan de kwaliteit van de producten en als de leverancier, i.c. Microsoft, keer op keer de belangen van zijn klanten ondergeschikt maakt aan het hare, dat de gebruiker op een ander product overstapt.

Het is niet Microsoft die de data kwalificatie van de bedrijfsgegevens moet doen. Dit is de gebruiker ofwel CEO.
Daarmee hoort ook een kwalificatie van welke programmatuur gebruikt mag worden op die machine. Dat heet whitelisting.
Niet werken onder admin dan wel local admin met beheerders rechten op die machine als je met gevoelige gegevens te maken hebt.
Het is de basis van de vaak verplichte iso27001 n'en 7510 waarmee je een securitybeleid inricht.

Voor thuisgebruik is de herkenning heel eenvoudig. Een Amerikaans iets in dit geval. Zeg een onderwerp waar je niets mee hebt. Een popup met een actie om iets te doen.
Postbus 51: klik weg, hang op, sluit af. Niet op ingaan.

Gaat een bedrijf zoiets toch doen? Dan met zijn allen aanpakken dat ze fout bezig zijn.

Bedrijven doen dit pas massaal zodra, specifiek voor hun situatie, wordt aangetoond dat de voordelen van overstappen opwegen tegen de nadelen, en de kans groot is dat dit in de toekomst zo blijft. Microsoft misbruikt haar machtspositie die zij heeft als gevolg van deze vendor-lock-in. Daarbij is zij zo bang deze machtspositie te verliezen, dat zij onveilige legacy functionaliteit niet durft te schrappen.

Ik ben het eens met karma4 dat het onverstandig is om jezelf zó afhankelijk te maken van een leverancier, van niet publiek gestandaardiseerde functionaliteit of zelfs van een specifieke versie van product (waarom draaien geldautomaten nog XP), dat overstappen onbetaalbaar wordt. Helaas is de praktijk dat velen dit wel doen (boekhoudingen bouwen in Excel etc).

Ik ben het oneens met karma4 dat gebruikers om de DDE techniek gevraagd zouden hebben. En zelfs als ik dat fout zou hebben (want feitelijk boeit dat niet zo), is karma4 het kennelijk ook niet met mij eens dat het een fout van Microsoft is dat zij haar verantwoordelijkheid niet neemt om risicovolle oude meuk te schrappen. En door dit een feature i.p.v. een exploitable museumstuk te noemen, lijkt Microsoft ook niet van plan om dit risico (en vele andere, vooral waar de woorden "interprocess" en/of "remote" in voorkomen) uit de wereld te helpen.

microsoft zou zeggen, Dit is geen bug, maar een ongedocumenteerde optie !

Dat zal Microsoft niet zeggen, want het is geen ongedocumenteerde optie.

Uit https://msdn.microsoft.com/en-us/library/bb213727(v=office.12).aspx:

Bitwiper je noemt boekhouding bouwen. Voeg er aan toe kpi's halen, bedrijfscijfers rapportages "verbeteren", interne performance rapporten "verbeteren" en je hebt exact de eis vanuit lijnmanagement te pakken waarom zij die prachtige koppelingen via een dde of zoiets willen/eisen.
Dan heb je ook de reden waarom ik tegen dat dde gebruik ben. Het zou gewoon standaard via de software afgeleverd zo naar buiten moeten kunnen gaan.

Kijk nu eens met een beter oog naar de beschikbare openbare jaarrapportages hoe die opgemaakt zijn, welke rubrieken er zijn etc. Neem gerust die van grote beurgenoteerde bedrijven.
Dan moet je ook weten dat een aantal rubrieken verplicht zijn maar er nog veel vrijheid is om posten om te zetten.

Wat anders. Je vind het niet goed dat er een nog ondersteunde embedded versie op ATM's draait.
Het is tenminste bekend wat er draait. Ga nu eens naar de hele keten. Als je daar zaken tegenkomt van 10 jaar geleden door de leverancier verlaten techniek of ontwerp en api's van 40 jaar gelden waar bijna niemand nog wat van weet dan vind je dat wel prima omdat het geen ms is? Ik heb wat meer gezien en weet wat meer dan wat algemeen bekend is.

kun je in een enkele regel vertellen wat al dit met Word, DDE of malware te maken heeft?