Désactivez Office DDEAUTO pour atténuer les attaques
- Catégorie: Sécurité
Il existe une vulnérabilité dans DDE dans les applications Office qui est actuellement exploitée activement dans la nature. DDE, ou Dynamic Data Exchange, est une fonctionnalité de Microsoft Office conçue pour donner aux applications la possibilité d'échanger des données entre elles.
Vous pouvez utiliser DDE par exemple pour mettre à jour un tableau dans un document Word à l'aide de données Excel.
Le protocole est largement utilisé, non seulement dans les applications Microsoft Office telles que Word ou Excel, mais également dans Visual Basic et bien d'autres.
Ce qui rend la vulnérabilité particulièrement inquiétante, c'est qu'elle ne nécessite pas de macros. La vague d'attaque actuelle utilise le courrier électronique pour distribuer des documents Office manipulés.
Utilisateurs qui exécutent ces documents avoir invites d'avertissement dans Office. Word par exemple affiche l'avertissement «Ce document contient des liens qui peuvent faire référence à d'autres fichiers. Voulez-vous mettre à jour ce document avec les données des fichiers liés?
La plupart des applications de sécurité ne détectent aucune menace concernant ces documents Office. Alors que les utilisateurs peuvent protéger leurs données en sélectionnant «non» lorsque les invites sont affichées, vous pouvez ajouter une couche de protection à cela pour protéger les systèmes quels que soient les choix que les utilisateurs font lorsqu'ils rencontrent ces documents malveillants.
De toute évidence, ce n'est une option que si DDE n'est pas requis dans l'environnement de travail. Bien qu'il semble probable que ce ne soit pas dans la plupart des environnements domestiques, les entreprises peuvent toujours l'utiliser et, en tant que telles, ne peuvent pas désactiver complètement la fonctionnalité.
Désactiver DDEAuto est un fichier de registre conservé sur GitHub qui désactive les fonctionnalités «Mettre à jour les liens» et «Fichiers incorporés» dans les documents Office lors de l'exécution.
Il couvre Word, Excel, WordMail, OneNote et Excel, et écrit ou modifie les clés de registre pour ajouter la protection. Notez que vous pouvez également activer la protection manuellement dans Office (qui définit les clés de registre sur les valeurs du fichier de registre).
Si vous utilisez Microsoft Word 2016 ou Microsoft Excel 2016 par exemple, vous sélectionnez Options> Avancé et supprimez la coche de `` Mettre à jour les liens automatiques à l'ouverture '' répertorié sous le groupe général sur la page qui s'ouvre.
Dans Excel, vous pouvez également cocher «Ignorer les autres applications qui utilisent Dynamic Data Exchange (DDE)».
Stratégie de groupe
Remplacez la version 2016 d'Excel ou Word par la version installée sur les machines que vous administrez. Notez que vous devez l'installer
Pour Excel, vous trouverez les options sous Modèles d'administration> Microsoft Excel 2016> Options Excel> Avancé.
- Demander à mettre à jour les liens automatiques
- Ignorer les autres applications
Pour Word, les options se trouvent sous Modèles d'administration> Microsoft Word 2016> Options Word> Avancé.
- Mettez à jour les liens automatiques à l'ouverture.
Enregistrement
Voici la liste des clés de registre pour Word et Excel pour votre commodité. Consultez la page GitHub si vous souhaitez télécharger le fichier de registre à la place.
Notez que vous devrez peut-être créer les valeurs car elles peuvent ne pas exister par défaut:
Word 2016
- Chemin: HKEY_CURRENT_USER Software Microsoft Office 16.0 Word Options
- Valeur: DontUpdateLinks
- Dword: 00000001
- HKEY_CURRENT_USER Software Microsoft Office 16.0 Word Options WordMail
- Valeur: DontUpdateLinks
- Dword: 00000001
Word 2013
- Chemin: HKEY_CURRENT_USER Software Microsoft Office 15.0 Word Options
- Valeur: DontUpdateLinks
- Dword: 00000001
- HKEY_CURRENT_USER Software Microsoft Office 15.0 Word Options WordMail
- Valeur: DontUpdateLinks
- Dword: 00000001
Word 2010
- Chemin: HKEY_CURRENT_USER Software Microsoft Office 14.0 Word Options
- Valeur: DontUpdateLinks
- Dword: 00000001
- HKEY_CURRENT_USER Software Microsoft Office 15.0 Word Options WordMail
- Valeur: DontUpdateLinks
- Dword: 00000001
Excel 2016
- Chemin: HKEY_CURRENT_USER Software Microsoft Office 16.0 Excel Options
- Valeur: DontUpdateLinks
- Dword: 00000001
- Chemin: HKEY_CURRENT_USER Software Microsoft Office 16.0 Excel Options
- Valeur: DDEAllowed
- Dword: 00000000
- Chemin: HKEY_CURRENT_USER Software Microsoft Office 16.0 Excel Options
- Valeur: DDECleaned
- Dword: 00000001
Excel 2013
- Chemin: HKEY_CURRENT_USER Software Microsoft Office 15.0 Excel Options
- Valeur: DontUpdateLinks
- Dword: 00000001
- Chemin: HKEY_CURRENT_USER Software Microsoft Office 15.0 Excel Options
- Valeur: DDEAllowed
- Dword: 00000000
- Chemin: HKEY_CURRENT_USER Software Microsoft Office 15.0 Excel Options
- Valeur: DDECleaned
- Dword: 00000001
Remarque : La valeur ci-dessous ne fonctionnerait pas. Je n'ai pas accès à Excel 2013 ou 2010 et je n'ai trouvé aucune information sur la valeur.
- Chemin: HKEY_CURRENT_USER Software Microsoft Office 15.0 Excel Options
- Valeur: Options
- Dword: 00000117
Excel 2010
- Chemin: HKEY_CURRENT_USER Software Microsoft Office 14.0 Excel Options
- Valeur: DontUpdateLinks
- Dword: 00000001
- Chemin: HKEY_CURRENT_USER Software Microsoft Office 14.0 Excel Options
- Valeur: DDEAllowed
- Dword: 00000000
- Chemin: HKEY_CURRENT_USER Software Microsoft Office 14.0 Excel Options
- Valeur: DDECleaned
- Dword: 00000001
Remarque : La valeur ci-dessous ne fonctionnerait pas. Je n'ai pas accès à Excel 2013 ou 2010 et je n'ai trouvé aucune information sur la valeur.
- Chemin: HKEY_CURRENT_USER Software Microsoft Office 14.0 Excel Options
- Valeur: Options
- Dword: 00000117
Quelqu'un dans les commentaires a déclaré que la bonne valeur est 279 au lieu de 117. Essayez cela et voyez si cela fonctionne.