Відключити Office DDEAUTO для пом’якшення атак

• Категорія: Безпека

Спробуйте Наш Інструмент Для Усунення Проблем

Виберіть Операційну Систему Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Виберіть Програму Проекції (Необов'Язково) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Опишіть Свою Проблему

Отримати Відповідь

Надіслати Мене Електронною Поштою Показати На Сайті

Наразі існує вразливість DDE в додатках Office, які активно експлуатуються в природі. DDE або динамічний обмін даними - це особливість Microsoft Office, яка створена для того, щоб надати програмам можливість обмінюватися даними між собою.

Наприклад, ви можете використовувати DDE для оновлення таблиці в документі Word за допомогою даних Excel.

Протокол широко використовується не тільки в додатках Microsoft Office, таких як Word або Excel, але також у Visual Basic та багатьох інших.

Що робить цю вразливість особливо тривожною, це те, що для неї не потрібні макроси. Поточна хвиля нападу використовує електронну пошту для розповсюдження маніпульованих документів Office.

Користувачі, які керують цими документами дістати попереджувальні підказки в Office. Наприклад, Word відображає попередження 'Цей документ містить посилання, які можуть посилатися на інші файли. Ви хочете оновити цей документ із даними із пов'язаних файлів '.

Більшість програм безпеки не виявляють загрози, коли мова йде про ці документи Office. Хоча користувачі можуть захищати свої дані, вибравши 'ні', коли відображаються підказки, ви можете додати до цього рівня захисту для захисту систем незалежно від вибору, який користувачі роблять, коли стикаються з цими шкідливими документами.

Очевидно, що це лише варіант, якщо DDE не потрібно в робочому середовищі. Хоча здається, що його немає в більшості домашніх середовищ, компанії можуть все-таки використовувати його і, як такий, можливо, не зможуть повністю відключити цю функцію.

Вимкнути DDEAuto - це файл реєстру, який підтримується GitHub що відключає функцію 'посилання на оновлення' та 'вбудовані файли' в документах Office під час запуску.

Він охоплює Word, Excel, WordMail, OneNote та Excel, а також пише або редагує ключі реєстру, щоб додати захист. Зауважте, що ви можете ввімкнути захист також вручну в Office (який встановлює ключі реєстру значенням файлу реєстру).

Якщо ви використовуєте, наприклад, Microsoft Word 2016 або Microsoft Excel 2016, ви вибираєте Опції> Додатково та знімаєте прапорець із пункту 'Оновити автоматичні посилання при відкриті', зазначеного в загальній групі на сторінці, що відкривається.

У програмі Excel ви також можете встановити прапорець 'Ігнорувати інші програми, що використовують динамічний обмін даними (DDE)'.

Групова політика

Замініть версію Excel або Word 2016 версією на версію, встановлену на машинах, якими ви керуєте. Зауважте, що вам потрібно встановити тер

Для Excel параметри ви знайдете в розділі Адміністративні шаблони> Microsoft Excel 2016> Опції Excel> Додатково.

• Попросіть оновити автоматичні посилання
• Ігноруйте інші програми

Для Word параметри знаходяться в розділі Адміністративні шаблони> Microsoft Word 2016> Параметри слова> Додатково.

• Оновіть автоматичні посилання на Open.

Реєстр

Ось список ключів реєстру для Word та Excel для вашої зручності. Перегляньте сторінку GitHub, якщо ви хочете замість цього завантажити файл реєстру.

Зауважте, що вам може знадобитися створити значення, оскільки вони можуть не існувати за замовчуванням:

Слово 2016

• Шлях: HKEY_CURRENT_USER Software Microsoft Office 16.0 Word Options
• Значення: DontUpdateLinks
• Слово: 00000001
• HKEY_CURRENT_USER Програмне забезпечення Microsoft Office 16.0 Word Опції WordMail
• Значення: DontUpdateLinks
• Слово: 00000001

Слово 2013

• Шлях: HKEY_CURRENT_USER Software Microsoft Office 15.0 Word Options
• Значення: DontUpdateLinks
• Слово: 00000001
• HKEY_CURRENT_USER Програмне забезпечення Microsoft Office 15.0 Word Опції WordMail
• Значення: DontUpdateLinks
• Слово: 00000001

Word 2010

• Шлях: HKEY_CURRENT_USER Software Microsoft Office 14.0 Word Options
• Значення: DontUpdateLinks
• Слово: 00000001
• HKEY_CURRENT_USER Програмне забезпечення Microsoft Office 15.0 Word Опції WordMail
• Значення: DontUpdateLinks
• Слово: 00000001

Excel 2016

• Шлях: HKEY_CURRENT_USER Software Microsoft Office 16.0 Excel Параметри
• Значення: DontUpdateLinks
• Слово: 00000001
• Шлях: HKEY_CURRENT_USER Software Microsoft Office 16.0 Excel Параметри
• Значення: DDEAllowed
• Слово: 00000000
• Шлях: HKEY_CURRENT_USER Software Microsoft Office 16.0 Excel Параметри
• Значення: очищено DDEC
• Слово: 00000001

Excel 2013

• Шлях: HKEY_CURRENT_USER Software Microsoft Office 15.0 Excel Опції
• Значення: DontUpdateLinks
• Слово: 00000001
• Шлях: HKEY_CURRENT_USER Software Microsoft Office 15.0 Excel Опції
• Значення: DDEAllowed
• Слово: 00000000
• Шлях: HKEY_CURRENT_USER Software Microsoft Office 15.0 Excel Опції
• Значення: очищено DDEC
• Слово: 00000001

Примітка : Наведене нижче значення, як повідомляється, не працює. Я не маю доступу до Excel 2013 або 2010 року і не можу знайти інформацію про значення.

• Шлях: HKEY_CURRENT_USER Software Microsoft Office 15.0 Excel Опції
• Значення: Параметри
• Слово: 00000117

Excel 2010

• Шлях: HKEY_CURRENT_USER Software Microsoft Office 14.0 Excel Параметри
• Значення: DontUpdateLinks
• Слово: 00000001
• Шлях: HKEY_CURRENT_USER Software Microsoft Office 14.0 Excel Параметри
• Значення: DDEAllowed
• Слово: 00000000
• Шлях: HKEY_CURRENT_USER Software Microsoft Office 14.0 Excel Параметри
• Значення: очищено DDEC
• Слово: 00000001

Примітка : Наведене нижче значення, як повідомляється, не працює. Я не маю доступу до Excel 2013 або 2010 року і не можу знайти інформацію про значення.

• Шлях: HKEY_CURRENT_USER Software Microsoft Office 14.0 Excel Параметри
• Значення: Параметри
• Слово: 00000117

Хтось у коментарях зазначив, що правильне значення становить 279 замість 117. Спробуйте це і подивіться, чи працює воно.