В рамках декабрьского обновления 2017 года December 2017 Patch Tuesday компания Microsoft выпустила патч для Office, который отключает функцию DDE в приложениях Word. Это явилось следствием нескольких киберкампаний, в ходе которых злоумышленники воспользовались этой функцией для установки вредоносных программ.
DDE поддерживает динамический обмен данных, функцию, которая позволяет Office загружать информацию из других приложений Office. Например, файл Word каждый раз при открытии может обновлять таблицу, вытаскивая данные из документа Excel.
DDE - это старая функция, которую Microsoft заменила с помощью нового инструментария Object Linking and Embedding (OLE), однако приложения Office по-прежнему поддерживают DDE.
Функция DDE используется для установки вредоносного ПО
В октябре 2017 года специалисты по безопасности из SensePost опубликовали руководство о том, как превратить DDE в оружие и использовать его для распространения вредоносного ПО.
Хотя DDE применяли для распространения вредоносного ПО еще в 90-х годах, новые методы, описанные в пособии SensePost, были быстро взяты злоумышленниками на вооружение. Первыми замечена в этом была FIN7, группа хакеров, специализирующихся на атаках по финансовым организациям.
В то время Microsoft не приняла во внимание уязвимость DDE в пакете Office, однако заявила, что это просто очередная легитимная функция, которой воспользовались для распространения вредоносного ПО.
Причина, по которой Microsoft не рассматривала атаки с использованием DDE в качестве проблемы безопасности, была в том, что перед открытием файлов Office выскакивало предупреждение. Однако это был очередной случай, когда авторы вредоносных программ нашли творческий способ использования легитимной функции, как это случалось ранее с OLE и макросами, при запуске которых перед пользователями также выскакивало предупреждение.
Декабрьские обновления отключили DDE в Word
По мере того как новые кампании, использующие технологию DDE, начали становиться все более массовыми, группа безопасности Microsoft постепенно изменила свое мнение.
Первый признак этого появился, когда в середине октября Microsoft выпустила Security Advisory 4053440 (советы по безопасности). В нем содержались сведения о том, как отключить функцию DDE в поддерживающих ее приложениях Office, таких как Word, Outlook и Excel.
В прошлый вторник Microsoft предприняла радикальный шаг и полностью отключила DDE в Word, что было сделано при помощи Office Defense в Depth Update ADV170021.
Данное обновление добавляет новый раздел реестра Windows. Он контролирует статус функции DDE для приложения Word, который по умолчанию отключен.
Хотя Microsoft официально остановила поддержку Word 2003 и 2007, для этого случая было сделано исключение, и ADV170021 также включил в себя обновления для этих двух версий.
Microsoft продолжит поддержку DDE в приложениях Excel и Outlook, для которых эта функция останется включенной по умолчанию. В дополнение компания советует пользователям воспользоваться Security Advisory 4053440, где подробно описаны способы отключения поддержки DDE.
