Microsoft выпустила рекомендации по защите своих офисных программ от атак через обмен данными между приложениями (Dynamic Data Exchange, DDE). Несмотря на растущее число угроз на базе этой функции, корпорация по-прежнему не признает ее уязвимостью.

Протокол DDE используется для обмена информацией между программами пакета Office, которые используют общие данные или общую память. Это позволяет, например, динамически обновлять Excel-таблицы, в том числе встроенные в документы других программ. С другой стороны, преступники используют в недобросовестных целях возможность прямо в интерфейсе Office-приложения вызвать командную строку или выполнить сторонний код.

Впервые о проблемах с DDE заговорили еще в 90-х, когда протокол только был представлен пользователям. Легитимный характер этой функции позволяет злоумышленникам обходить многие защитные системы. Пользователи сами запускают зловред, когда соглашаются обновить связи в зараженном документе. Тот факт, что стандартное диалоговое окно может запускать неизвестный код, большинству из них неизвестен.

В 2017 году исследователи ИБ обратили внимание, что преступники вернулись к старым приемам. В октябре независимый эксперт Кевин Бомонт (Kevin Beaumont) сообщил, что крупные хакерские группировки используют протокол в направленных атаках на финансовые организации. Позже стало известно, что тем же способом известный ботнет Necurs распространяет шифровальщик Locky — этот зловред в 2017 году поразил каждую десятую организацию в мире, заняв второе место среди всех вирусов этого класса.

Несмотря на все эти предупреждения и даже прямые обращения ИБ-компаний, Microsoft не предпринимает значительных шагов, чтобы защитить пользователей от атак через DDE. Опубликованные 8 ноября рекомендации представляют собой методические указания администраторам и пользователям Excel, Word, Outlook и Publisher, которые хотят «убедиться, что эти приложения защищены при использовании DDE». Как следствие, предупреждает Microsoft, информация в файлах и документах больше не будет обновляться автоматически. Актуализировать связанные данные можно вручную через контекстное меню по клику правой кнопки мыши.

Продвинутые пользователи могут отключить DDE через реестр — в рекомендациях приводятся соответствующие строки. В Outlook и Publisher эти действия деактивируют и протокол OLE (Object Linking and Embedding). Эта технология связывания и внедрения объектов в другие документы и объекты более известна под названием ActiveX.

Авторы рекомендаций отдельно остановились на Windows 10 Fall Creator Update, который содержит инструменты для блокирования DDE-зловредов с помощью уменьшения площади атак (Attack Surface Reduction, ASR). Функции ASR обеспечивают блокирование выполнения кода, проведения инжектов, запуска дочерних процессов и макросов.

Категории: Кибероборона, Уязвимости