Онемогућите Оффице ДДЕАУТО за ублажавање напада

Тренутно постоји рањивост ДДЕ-а у Оффице апликацијама која се активно користи у дивљини. ДДЕ, односно динамичка размена података, је карактеристика Мицрософт Оффице-а која је дизајнирана тако да апликацијама омогућава међусобну размену података.



Можете користити ДДЕ, на пример, за ажурирање табеле у Ворд документу користећи Екцел податке.

Протокол се широко користи, не само у Мицрософт Оффице апликацијама као што су Ворд или Екцел, већ и у Висуал Басиц и многим другим.

Оно што рањивост чини посебно забрињавајућим је то што за њу нису потребни макрои. Тренутни талас напада користи е-пошту за дистрибуцију манипулираних Оффице докумената.



Корисници који управљају овим документима добити упозорења у програму Оффице. На пример, реч Ворд приказује упозорење „Овај документ садржи везе које се могу односити на друге датотеке. Да ли желите да ажурирате овај документ са подацима из повезаних датотека '.

ddeauto word security

Већина безбедносних апликација не открива претњу када је реч о овим Оффице документима. Иако корисници могу заштитити своје податке одабиром „не“ када се прикажу прикази, можда ћете томе желети додати слој заштите да бисте заштитили системе без обзира на избор који корисници изврше када наиђу на ове злонамерне документе.



Очигледно је да је ово опција само ако ДДЕ није потребан у радном окружењу. Иако се чини вероватно да га нема у већини кућних окружења, компаније га и даље могу користити и као такве можда неће моћи у потпуности да онемогуће функцију.

Онемогући ДДЕАуто је датотека регистра која се одржава ГитХуб што онемогућава функционалност „веза за ажурирање“ и „уграђених датотека“ у Оффице документима када се покрећу.

Обухвата Ворд, Екцел, ВордМаил, ОнеНоте и Екцел и пише или уређује кључеве регистра да би додали заштиту. Имајте на уму да заштиту можете да омогућите и ручно у програму Оффице (који кључеве регистра поставља на вредности датотеке регистра).



Ако користите, на пример, Мицрософт Ворд 2016 или Мицрософт Екцел 2016, изаберите Опције> Напредно и уклоните квачицу са „Ажурирај аутоматске везе на отвореном“, наведено под општем групом на страници која се отвара.

dde word



У Екцелу ћете можда желети и да означите „Занемари друге апликације које користе динамичку размену података (ДДЕ)“.

Групна политика

Замените верзију програма Екцел или Ворд за 2016. годину верзијом инсталираном на машинама које администрирате. Имајте на уму да је потребно да инсталирате тхер

За Екцел ћете пронаћи опције у Административним предлошцима> Мицрософт Екцел 2016> Екцел опције> Напредно.

  • Затражите ажурирање аутоматских веза
  • Занемарите остале апликације

За Ворд се опције налазе под Административним предлошцима> Мицрософт Ворд 2016> Опције за Ворд> Напредно.

  • Ажурирајте аутоматске везе на Опен.

Регистар

Ево листе кључева регистра за Ворд и Екцел ради ваше удобности. Погледајте ГитХуб страницу ако желите да преузмете датотеку регистра.

Имајте на уму да ћете можда требати да направите вредности јер оне по дефаулту можда не постоје:

Ворд 2016

  • Пут: ХКЕИ_ЦУРРЕНТ_УСЕР Софтваре Мицрософт Оффице 16.0 Ворд Оптионс
  • Вредност: ДонтУпдатеЛинкс
  • Реч: 00000001
  • ХКЕИ_ЦУРРЕНТ_УСЕР Софтваре Мицрософт Оффице 16.0 Ворд Оптионс ВордМаил
  • Вредност: ДонтУпдатеЛинкс
  • Реч: 00000001

Ворд 2013

  • Пут: ХКЕИ_ЦУРРЕНТ_УСЕР Софтваре Мицрософт Оффице 15.0 Ворд Оптионс
  • Вредност: ДонтУпдатеЛинкс
  • Реч: 00000001
  • ХКЕИ_ЦУРРЕНТ_УСЕР Софтваре Мицрософт Оффице 15.0 Ворд Оптионс ВордМаил
  • Вредност: ДонтУпдатеЛинкс
  • Реч: 00000001

Ворд 2010

  • Пут: ХКЕИ_ЦУРРЕНТ_УСЕР Софтваре Мицрософт Оффице 14.0 Ворд Оптионс
  • Вредност: ДонтУпдатеЛинкс
  • Реч: 00000001
  • ХКЕИ_ЦУРРЕНТ_УСЕР Софтваре Мицрософт Оффице 15.0 Ворд Оптионс ВордМаил
  • Вредност: ДонтУпдатеЛинкс
  • Реч: 00000001

Екцел 2016

  • Пут: ХКЕИ_ЦУРРЕНТ_УСЕР Софтваре Мицрософт Оффице 16.0 Екцел Оптионс
  • Вредност: ДонтУпдатеЛинкс
  • Реч: 00000001
  • Пут: ХКЕИ_ЦУРРЕНТ_УСЕР Софтваре Мицрософт Оффице 16.0 Екцел Оптионс
  • Вредност: ДДЕАлловед
  • Реч: 00000000
  • Пут: ХКЕИ_ЦУРРЕНТ_УСЕР Софтваре Мицрософт Оффице 16.0 Екцел Оптионс
  • Вредност: Очишћено ДДЕЦ
  • Реч: 00000001

Екцел 2013

  • Пут: ХКЕИ_ЦУРРЕНТ_УСЕР Софтваре Мицрософт Оффице 15.0 Екцел Оптионс
  • Вредност: ДонтУпдатеЛинкс
  • Реч: 00000001
  • Пут: ХКЕИ_ЦУРРЕНТ_УСЕР Софтваре Мицрософт Оффице 15.0 Екцел Оптионс
  • Вредност: ДДЕАлловед
  • Реч: 00000000
  • Пут: ХКЕИ_ЦУРРЕНТ_УСЕР Софтваре Мицрософт Оффице 15.0 Екцел Оптионс
  • Вредност: Очишћено ДДЕЦ
  • Реч: 00000001

Белешка : Нижа вредност наводно не ради. Немам приступ Екцел-у 2013 или 2010 и нисам могао да нађем никакве информације о вредности.

  • Пут: ХКЕИ_ЦУРРЕНТ_УСЕР Софтваре Мицрософт Оффице 15.0 Екцел Оптионс
  • Вредност: Опције
  • Реч: 00000117

Екцел 2010

  • Пут: ХКЕИ_ЦУРРЕНТ_УСЕР Софтваре Мицрософт Оффице 14.0 Екцел Оптионс
  • Вредност: ДонтУпдатеЛинкс
  • Реч: 00000001
  • Пут: ХКЕИ_ЦУРРЕНТ_УСЕР Софтваре Мицрософт Оффице 14.0 Екцел Оптионс
  • Вредност: ДДЕАлловед
  • Реч: 00000000
  • Пут: ХКЕИ_ЦУРРЕНТ_УСЕР Софтваре Мицрософт Оффице 14.0 Екцел Оптионс
  • Вредност: Очишћено ДДЕЦ
  • Реч: 00000001

Белешка : Нижа вредност наводно не ради. Немам приступ Екцел-у 2013 или 2010 и нисам могао да нађем никакве информације о вредности.

  • Пут: ХКЕИ_ЦУРРЕНТ_УСЕР Софтваре Мицрософт Оффице 14.0 Екцел Оптионс
  • Вредност: Опције
  • Реч: 00000117

Неко је у коментарима изјавио да је исправна вредност 279 уместо 117. Пробајте и видите да ли делује.