Disabilita Office DDEAUTO per mitigare gli attacchi
- Categoria: Sicurezza
Attualmente esiste una vulnerabilità in DDE nelle applicazioni di Office che viene sfruttata attivamente in natura. DDE, o Dynamic Data Exchange, è una funzionalità di Microsoft Office progettata per fornire alle applicazioni la possibilità di scambiare dati tra loro.
È possibile utilizzare DDE, ad esempio, per aggiornare una tabella in un documento di Word utilizzando i dati di Excel.
Il protocollo è ampiamente utilizzato, non solo nelle applicazioni Microsoft Office come Word o Excel, ma anche in Visual Basic e molte altre.
Ciò che rende la vulnerabilità particolarmente preoccupante è che non richiede macro. L'attuale ondata di attacchi utilizza la posta elettronica per distribuire documenti di Office manipolati.
Utenti che eseguono questi documenti ottenere messaggi di avviso in Office. Word, ad esempio, visualizza l'avviso 'Questo documento contiene collegamenti che possono fare riferimento ad altri file. Vuoi aggiornare questo documento con i dati dei file collegati '.
La maggior parte delle applicazioni di sicurezza non rileva alcuna minaccia quando si tratta di questi documenti di Office. Sebbene gli utenti possano proteggere i propri dati selezionando 'no' quando vengono visualizzati i prompt, è possibile aggiungere un livello di protezione a questo per proteggere i sistemi indipendentemente dalle scelte che gli utenti fanno quando incontrano questi documenti dannosi.
Ovviamente, questa è solo un'opzione se DDE non è richiesto nell'ambiente di lavoro. Anche se sembra probabile che non sia presente nella maggior parte degli ambienti domestici, le aziende potrebbero comunque utilizzarlo e come tale potrebbero non essere in grado di disabilitare completamente la funzione.
Disabilita DDEAuto è un file di registro che viene mantenuto su GitHub che disabilita la funzionalità 'Aggiorna collegamenti' e 'File incorporati' nei documenti di Office quando viene eseguito.
Copre Word, Excel, WordMail, OneNote ed Excel e scrive o modifica le chiavi del Registro di sistema per aggiungere la protezione. Si noti che è possibile abilitare la protezione manualmente anche in Office (che imposta le chiavi del Registro di sistema sui valori del file di registro).
Se utilizzi Microsoft Word 2016 o Microsoft Excel 2016, ad esempio, seleziona Opzioni> Avanzate e rimuovi il segno di spunta da 'Aggiorna collegamenti automatici all'apertura' elencato sotto il gruppo generale nella pagina che si apre.
In Excel, potresti anche voler selezionare 'Ignora altre applicazioni che utilizzano Dynamic Data Exchange (DDE)'.
Politica di gruppo
Sostituisci la versione 2016 di Excel o Word con la versione installata sulle macchine che amministri. Notare che è necessario installarlo
Per Excel, trovi le opzioni in Modelli amministrativi> Microsoft Excel 2016> Opzioni di Excel> Avanzate.
- Chiedi di aggiornare i link automatici
- Ignora altre applicazioni
Per Word, le opzioni si trovano in Modelli amministrativi> Microsoft Word 2016> Opzioni di Word> Avanzate.
- Aggiorna i collegamenti automatici all'apertura.
Registro
Ecco l'elenco delle chiavi di registro per Word ed Excel per comodità. Controlla la pagina GitHub se desideri invece scaricare il file di registro.
Tieni presente che potrebbe essere necessario creare i valori poiché potrebbero non esistere per impostazione predefinita:
Word 2016
- Percorso: HKEY_CURRENT_USER Software Microsoft Office 16.0 Word Options
- Valore: DontUpdateLinks
- Dword: 00000001
- HKEY_CURRENT_USER Software Microsoft Office 16.0 Word Options WordMail
- Valore: DontUpdateLinks
- Dword: 00000001
Word 2013
- Percorso: HKEY_CURRENT_USER Software Microsoft Office 15.0 Word Options
- Valore: DontUpdateLinks
- Dword: 00000001
- HKEY_CURRENT_USER Software Microsoft Office 15.0 Word Options WordMail
- Valore: DontUpdateLinks
- Dword: 00000001
Word 2010
- Percorso: HKEY_CURRENT_USER Software Microsoft Office 14.0 Word Options
- Valore: DontUpdateLinks
- Dword: 00000001
- HKEY_CURRENT_USER Software Microsoft Office 15.0 Word Options WordMail
- Valore: DontUpdateLinks
- Dword: 00000001
Excel 2016
- Percorso: HKEY_CURRENT_USER Software Microsoft Office 16.0 Excel Options
- Valore: DontUpdateLinks
- Dword: 00000001
- Percorso: HKEY_CURRENT_USER Software Microsoft Office 16.0 Excel Options
- Valore: DDEAconsentito
- Dword: 00000000
- Percorso: HKEY_CURRENT_USER Software Microsoft Office 16.0 Excel Options
- Valore: DDECleaned
- Dword: 00000001
Excel 2013
- Percorso: HKEY_CURRENT_USER Software Microsoft Office 15.0 Excel Options
- Valore: DontUpdateLinks
- Dword: 00000001
- Percorso: HKEY_CURRENT_USER Software Microsoft Office 15.0 Excel Options
- Valore: DDEAconsentito
- Dword: 00000000
- Percorso: HKEY_CURRENT_USER Software Microsoft Office 15.0 Excel Options
- Valore: DDECleaned
- Dword: 00000001
Nota : Il valore sotto riportato non funziona. Non ho accesso a Excel 2013 o 2010 e non sono riuscito a trovare alcuna informazione sul valore.
- Percorso: HKEY_CURRENT_USER Software Microsoft Office 15.0 Excel Options
- Valore: opzioni
- Dword: 00000117
Excel 2010
- Percorso: HKEY_CURRENT_USER Software Microsoft Office 14.0 Excel Options
- Valore: DontUpdateLinks
- Dword: 00000001
- Percorso: HKEY_CURRENT_USER Software Microsoft Office 14.0 Excel Options
- Valore: DDEAconsentito
- Dword: 00000000
- Percorso: HKEY_CURRENT_USER Software Microsoft Office 14.0 Excel Options
- Valore: DDECleaned
- Dword: 00000001
Nota : Il valore sotto riportato non funziona. Non ho accesso a Excel 2013 o 2010 e non sono riuscito a trovare alcuna informazione sul valore.
- Percorso: HKEY_CURRENT_USER Software Microsoft Office 14.0 Excel Options
- Valore: opzioni
- Dword: 00000117
Qualcuno nei commenti ha affermato che il valore corretto è 279 invece di 117. Provalo e vedi se funziona.