Microsoft 安全公告 4053440

安全打开包含动态数据交换（DDE）字段的 Microsoft Office 文档

发布日期： 2017年11月8日 | 更新日期： 2018年1月9日 版本： 3.0

执行摘要

微软发布此安全公告，旨在提供有关 Microsoft Office 应用程序安全设置的信息。本公告就用户在处理动态数据交换（DDE）字段时，如何确保这些应用程序得到适当保护提供了指导。

关于动态数据交换

Microsoft Office 提供了多种在应用程序之间传输数据的方法。DDE协议是一组消息和指南。它在共享数据的应用程序之间发送消息，并使用共享内存在应用程序之间交换数据。应用程序可使用DDE协议进行一次性数据传输和持续交换，在新的数据可用时，应用程序会相互发送更新。

场景

在电子邮件攻击场景中，攻击者可能会通过向用户发送特制文件，然后诱使用户打开该文件（通常通过电子邮件中的诱饵）来利用DDE协议。攻击者必须说服用户禁用受保护模式并点击一个或多个附加提示。由于电子邮件附件是攻击者传播恶意软件的主要方法之一，微软强烈建议客户在打开可疑文件附件时保持警惕。

DDE功能控制键

Microsoft Office 提供了多个存储在注册表中的功能控制键，负责修改产品功能、提高对行业标准的支持以及增强安全性。微软已记录了这些功能控制键，并出于安全原因建议启用特定的功能控制键。请参阅以下内容：

Office 2016：保护和控制对 Office 的访问
Office 2013：保护 Office 2013

微软强烈鼓励所有 Microsoft Office 用户查看与安全相关的功能控制键并启用它们。设置以下部分描述的注册表键将禁用链接字段的自动数据更新。

更新 2017年12月12日，微软为所有受支持版本的 Microsoft Word 发布了一个更新，允许用户根据其环境设置DDE协议的功能。有关更多信息并下载更新，请参阅 ADV170021。

更新 2018年1月9日，微软为所有受支持版本的 Microsoft Excel 发布了一个更新，允许用户根据其环境设置DDE协议的功能。有关更多信息并下载更新，请参阅 ADV170021。

缓解DDE攻击场景

希望立即采取行动的用户可以通过手动创建和设置 Microsoft Office 的注册表项来保护自己。请按照以下说明，根据系统上安装的 Office 应用程序设置注册表键。

警告： 如果注册表编辑器使用不当，可能会导致严重问题，可能需要重新安装操作系统。Microsoft 不能保证您能够解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需自担风险。

微软建议您在更改任何注册表项之前备份注册表。

Microsoft Excel

Excel 依赖 DDE 功能来启动文档。

要防止从 Excel 自动更新链接（包括 DDE、OLE 以及外部单元格或定义名称引用），请参考下表为每个版本设置注册表键版本字符串：

Office 版本	注册表键 `<version>` 字符串
Office 2007	`12.0`
Office 2010	`14.0`
Office 2013	`15.0`
Office 2016	`16.0`

要通过用户界面禁用 DDE 功能：设置 文件 -> 选项 -> 信任中心 -> 信任中心设置… -> 外部内容 -> 工作簿链接的安全设置 = 禁用工作簿链接的自动更新。

要通过注册表编辑器禁用 DDE 功能：

1
2


[HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Excel\Security]
WorkbookLinkWarnings(DWORD) = 2

缓解措施影响： 如果在注册表中禁用此功能，可能会阻止 Excel 电子表格动态更新。由于不再通过实时馈送自动更新，数据可能不是完全最新的。要更新工作表，用户必须手动启动馈送。此外，用户将不会收到提示来提醒他们手动更新工作表。

Microsoft Outlook

请参考下表为每个 Office 版本设置注册表键版本字符串：

Office 版本	注册表键 `<version>` 字符串
Office 2010	`14.0`
Office 2013	`15.0`
Office 2016	`16.0`

对于 Office 2010 及更高版本，要通过注册表编辑器禁用 DDE 功能：

1
2


[HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Word\Options\WordMail]
DontUpdateLinks(DWORD)=1

对于 Office 2007，要通过注册表编辑器禁用 DDE 功能：

1
2


[HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref]
fNoCalclinksOnopen_90_1(DWORD)=1

缓解措施影响： 设置此注册表键将禁用 DDE 字段和 OLE 链接的自动更新。用户仍然可以通过右键单击字段并选择“更新域”来启用更新。

Microsoft Publisher

嵌入在 Publisher 文档中的使用 DDE 协议的 Word 文档可能是一个攻击媒介。您可以通过应用 Word 注册表键修改来帮助防止此攻击媒介。有关 Word 注册表键值，请参阅以下部分。

Microsoft Word

有关允许用户根据其环境设置DDE协议功能的 Microsoft Word 更新，请参阅 ADV170021。

请参考下表为每个 Office 版本设置注册表键版本字符串：

Office 版本	注册表键 `<version>` 字符串
Office 2010	`14.0`
Office 2013	`15.0`
Office 2016	`16.0`

对于 Office 2010 及更高版本，要通过注册表编辑器禁用 DDE 功能：

1
2


[HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Word\Options]
DontUpdateLinks(DWORD)=1

对于 Office 2007，要通过注册表编辑器禁用 DDE 功能：

1
2


[HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref]
fNoCalclinksOnopen_90_1(DWORD)=1

缓解措施影响： 设置此注册表键将禁用 DDE 字段和 OLE 链接的自动更新。用户仍然可以通过右键单击字段并选择“更新域”来启用更新。

Windows 10 Fall Creators Update（版本 1709）

Windows 10 Fall Creators Update 的用户可以利用 Windows Defender Exploit Guard，通过攻击面缩减（ASR）规则来阻止基于 DDE 的恶意软件。

ASR 是 Windows Defender Exploit Guard 中的一个组件，它为企业提供了一套内置智能，可以阻止恶意文档用来执行攻击的底层行为，而不会妨碍产品运行。通过独立于威胁或漏洞是什么来阻止恶意行为，ASR 可以保护企业免受以前从未见过的零日攻击，例如最近发现的这些漏洞：CVE-2017-8759、CVE-2017-11292 和 CVE-2017-11826。

对于 Office 应用程序，ASR 可以：

阻止 Office 应用程序创建可执行内容
阻止 Office 应用程序启动子进程
阻止 Office 应用程序注入进程
阻止从 Office 的宏代码中导入 Win32
阻止模糊的宏代码

像 DDEDownloader 这样的新兴漏洞利用程序使用 Office 文档中的动态数据交换（DDE）弹出窗口来运行 PowerShell 下载程序；然而，在此过程中，它们会启动一个子进程，而相应的子进程规则会阻止该子进程。

Windows Defender Exploit Guard 可与 Windows Defender 高级威胁防护（ATP）一起使用，以调查和应对企业级安全风险和问题。要了解有关 Windows Defender Exploit Guard 和 Windows Defender ATP 的更多信息，请参阅：

微软正在进一步研究此问题，并将在获得更多信息时在本文中发布。

其他建议措施

保护您的计算机 我们继续鼓励客户遵循我们的“保护计算机”指南：启用防火墙、获取软件更新和安装防病毒软件。有关更多信息，请参阅 Microsoft 安全与保障中心。
保持 Microsoft 软件为最新 运行 Microsoft 软件的用户应应用最新的 Microsoft 安全更新，以帮助确保其计算机得到尽可能的保护。如果您不确定您的软件是否是最新的，请访问 Microsoft Update，扫描您的计算机以查找可用更新，并安装提供给您的任何高优先级更新。如果您启用了自动更新并配置为提供 Microsoft 产品的更新，则更新会在发布时交付给您，但您应验证它们是否已安装。

其他信息

免责声明

本公告中提供的信息“按原样”提供，不作任何明示或暗示的担保。Microsoft 否认所有明示或暗示的担保，包括适销性和针对特定用途的适用性的担保。在任何情况下，Microsoft Corporation 或其供应商都不对任何损害承担任何责任，包括直接、间接、附带、后果性、商业利润损失或特殊损害，即使 Microsoft Corporation 或其供应商已被告知发生此类损害的可能性。有些州不允许排除或限制附带或间接损害的责任，因此上述限制可能不适用。

修订

V1.0（2017年11月8日）：公告发布。
V1.1（2017年11月30日）：更新了“Windows 10 Fall Creators Update”部分，添加了有关攻击面缩减（ASR）规则的更多信息。这仅是一次信息性更改。
V2.0（2017年12月12日）：微软已为所有受支持版本的 Microsoft Word 发布了一个更新，允许用户根据其环境设置DDE协议的功能。有关更多信息并下载更新，请参阅 ADV170021。
V3.0（2018年1月9日）：微软已为所有受支持版本的 Microsoft Excel 发布了一个更新，允许用户根据其环境设置DDE协议的功能。有关更多信息并下载更新，请参阅 ADV170021。

防范利用Office动态数据交换（DDE）协议攻击的指南

本文详细介绍了针对Microsoft Office中动态数据交换（DDE）协议可能被用于传播恶意软件的威胁，并提供了通过配置注册表键值、启用Windows Defender攻击面缩减规则等多种技术手段进行安全缓解的具体操作指南。