Microsoft waarschuwt voor aanvallen via DDE-feature in Office
Microsoft heeft een waarschuwing afgegeven voor aanvallen die gebruik maken van de DDE-feature in Microsoft Office. Dynamic Data Exchange (DDE) is een feature die aan oudere Windows-versies werd toegevoegd en nog steeds op allerlei plekken wordt gebruikt.
De feature maakt het mogelijk om data van bijvoorbeeld een Excel-document in een Word-document te injecteren. In het geval het Excel-document wordt bijgewerkt zal dit ook meteen in het Word-document zichtbaar zijn. De DDE-feature maakt het echter ook mogelijk om in plaats van Excel een applicatie zoals cmd.exe of Powershell aan te roepen en daarmee kwaadaardige commando's uit te voeren.
De functionaliteit wordt actief door cybercriminelen gebruikt om gebruikers met malware te infecteren. Anti-virusbedrijf McAfee maakte dinsdag nog melding van een dergelijke aanval. In een gisteren gepubliceerde security advisory stelt Microsoft dat aanvallers het slachtoffer wel eerst moeten overtuigen om de Protected Mode van Office uit te schakelen en door één of meer vensters heen te klikken voordat de aanval kan worden uitgevoerd.
Volgens de softwaregigant moeten gebruikers dan ook alert zijn bij het openen van verdachte e-mailbijlagen. Beheerders en gebruikers kunnen daarnaast ook andere maatregelen nemen om dergelijke aanvallen tegen te gaan. Via verschillende aanpassingen aan het Windows Register kan de DDE-feature namelijk worden uitgeschakeld. Dit kan voor verschillende programma's zoals Excel, Outlook en Word worden gedaan. Gebruikers van de Windows 10 Fall Creator Update kunnen daarnaast de Windows Defender Exploit Guard gebruiken om DDE-gebaseerde malware blokkeren.
Wel zie ik in https://www.ghacks.net/2017/10/23/disable-office-ddeauto-to-mitigate-attacks/ zinvolle tips, ook in de comments eronder.
Daar valt ook te lezen dat bij een veilige instelling Excel niet meer start als op een .xls of .xlsx file in Windows Verkenner/Explorer dubbelklikt. De oorzaak daarvan is (dit is info uit het register die Verkenner gebruikt om te bepalen wat er moet gebeuren als je op een bestand dubbelklikt, in dit geval op een PC met Office 2016, in vet steeds de commando's die ik intikte):
.xls=Excel.Sheet.8
C:\>ftype excel.sheet.8
excel.sheet.8="C:\Program Files (x86)\Microsoft Office\Root\Office16\EXCEL.EXE" /dde
C:\>assoc .xlsx
.xlsx=Excel.Sheet.12
C:\>ftype excel.sheet.12
excel.sheet.12="C:\Program Files (x86)\Microsoft Office\Root\Office16\EXCEL.EXE" /dde
C:\>assoc .xlsm
.xlsm=Excel.SheetMacroEnabled.12
C:\>ftype Excel.SheetMacroEnabled.12
Excel.SheetMacroEnabled.12="C:\Program Files (x86)\Microsoft Office\Root\Office16\EXCEL.EXE" /dde
Met andere woorden, als je op een Excel file in verkenner klikt wordt nog steeds DDE gebruikt om Excel te starten. Mogelijk is dit bedoeld voor de (m.i. irritante) eigenschap dat, als Excel al draait, er geen nieuwe instantie van Excel gestart wordt, maar de sheet in een eigen deelvenster wordt geopend. Wat mij in oudere versies van Excel al verschillende keren tot gegevensverlies heeft geleid, omdat ik Excel (net als Word) met Alt-F4 afsloot en me niet realiseerde dat "wil je wijzigingen op slaan" op een heel andere sheet sloeg dan ik voor ogen had (andere MS Office applicaties werkten en werken wel zoals ik verwachte, en Excel tegenwoordig ook - maar kennelijk via een trucje waardoor het lijkt dat er meerdere instances draaien, en niet 1 enkel MDI (Multiple Document Interface) programma).
Iets dat je deels uit kunt zetten, gedocumenteerd in https://support.microsoft.com/en-us/help/3165211/how-to-force-excel-to-open-in-a-new-instance-by-default, maar ook dat werkt niet als je op een bestand dubbelklikt in verkenner, vermoedelijk omdat die via DDE met Excel praat:
Heeft iemand ervaring met het wijzigen van die "ftype" relaties waardoor de bestandsnaam als parameter (%1) wordt overgedragen i.p.v. met DDE?
Volgens mij doet niemand dat meer, of bij uitzondering als men toevallig niet weet waar een bestand is opgeslagen en uiteraard uitgezonderd het aanmaken van een nieuw bestand.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.