安全打开包含动态数据交换字段的Microsoft Office文档
发布日期: 2017年11月8日 | 更新日期: 2018年1月9日 版本: 3.0
执行摘要
微软发布此安全公告旨在提供有关Microsoft Office应用程序安全设置的信息。本公告提供了确保这些应用程序在处理动态数据交换字段时得到适当保护的指导。
关于动态数据交换
Microsoft Office提供了多种在应用程序之间传输数据的方法。DDE协议是一组消息和准则。它在共享数据的应用程序之间发送消息,并使用共享内存在应用程序之间交换数据。应用程序可将DDE协议用于一次性数据传输和持续交换,即在新数据可用时应用程序相互发送更新。
攻击场景
在电子邮件攻击场景中,攻击者可通过向用户发送特制文件,然后诱使用户打开该文件(通常通过电子邮件中的诱惑手段)来利用DDE协议。攻击者必须说服用户禁用受保护模式,并点击一个或多个额外的提示。由于电子邮件附件是攻击者传播恶意软件的主要方法,微软强烈建议客户在打开可疑文件附件时保持谨慎。
DDE功能控制键
Microsoft Office提供了多个存储在注册表中的功能控制键,负责修改产品功能、改进对行业标准的支持和增强安全性。微软已记录了这些功能控制键,并出于安全原因建议启用特定的功能控制键。请参阅以下内容:
- Office 2016:保护和控制对Office的访问
- Office 2013:保护Office 2013
微软强烈建议所有Microsoft Office用户查看与安全相关的功能控制键并启用它们。设置以下各节中描述的注册表键将禁用链接字段的自动数据更新。
更新:2017年12月12日,微软发布了适用于所有受支持版本Microsoft Word的更新,允许用户根据其环境设置DDE协议的功能。有关更多信息并下载更新,请参阅ADV170021。
更新:2018年1月9日,微软发布了适用于所有受支持版本Microsoft Excel的更新,允许用户根据其环境设置DDE协议的功能。有关更多信息并下载更新,请参阅ADV170021。
缓解DDE攻击场景
希望立即采取行动的用户可以通过手动创建和设置Microsoft Office的注册表项来保护自己。请根据系统上安装的Office应用程序使用以下说明来设置注册表键。
警告:如果错误使用注册表编辑器,可能会导致严重问题,甚至可能需要重新安装操作系统。Microsoft无法保证解决因错误使用注册表编辑器而导致的问题。使用注册表编辑器风险自负。Microsoft建议在更改任何注册表项之前备份注册表。
Microsoft Excel
Excel依赖于DDE功能来启动文档。 要防止Excel(包括DDE、OLE以及外部单元格或定义名称引用)自动更新链接,请参考下表设置每个版本的注册表键版本字符串:
| Office版本 | 注册表键 <version> 字符串 |
|---|---|
| Office 2007 | 12.0 |
| Office 2010 | 14.0 |
| Office 2013 | 15.0 |
| Office 2016 | 16.0 |
通过用户界面禁用DDE功能:
设置 文件 -> 选项 -> 信任中心 -> 信任中心设置… -> 外部内容 -> 工作簿链接的安全设置 = 禁用工作簿链接的自动更新。
通过注册表编辑器禁用DDE功能:
|
|
缓解措施的影响:如果在注册表中禁用此功能,可能会阻止Excel电子表格动态更新。由于不再通过实时源自动更新,数据可能不完全是最新的。要更新工作表,用户必须手动启动源。此外,用户将不会收到提醒他们手动更新工作表的提示。
Microsoft Outlook
参考下表设置每个Office版本的注册表键版本字符串:
| Office版本 | 注册表键 <version> 字符串 |
|---|---|
| Office 2010 | 14.0 |
| Office 2013 | 15.0 |
| Office 2016 | 16.0 |
对于Office 2010及更高版本,通过注册表编辑器禁用DDE功能:
|
|
对于Office 2007,通过注册表编辑器禁用DDE功能:
|
|
缓解措施的影响:设置此注册表键将禁用DDE字段和OLE链接的自动更新。用户仍可通过右键单击字段并选择“更新字段”来启用更新。
Microsoft Publisher
嵌入Publisher文档中的使用DDE协议的Word文档可能是一个攻击向量。您可以通过应用Word注册表键修改来帮助防止此攻击向量。有关Word注册表键值,请参阅以下部分。
Microsoft Word
有关Microsoft Word的更新信息,请参阅ADV170021,该更新允许用户根据其环境设置DDE协议的功能。 参考下表设置每个Office版本的注册表键版本字符串:
| Office版本 | 注册表键 <version> 字符串 |
|---|---|
| Office 2010 | 14.0 |
| Office 2013 | 15.0 |
| Office 2016 | 16.0 |
对于Office 2010及更高版本,通过注册表编辑器禁用DDE功能:
|
|
对于Office 2007,通过注册表编辑器禁用DDE功能:
|
|
缓解措施的影响:设置此注册表键将禁用DDE字段和OLE链接的自动更新。用户仍可通过右键单击字段并选择“更新字段”来启用更新。
Windows 10 Fall Creators Update (版本 1709)
Windows 10 Fall Creators Update的用户可以利用Windows Defender Exploit Guard,通过攻击面减少规则来阻止基于DDE的恶意软件。 攻击面减少是Windows Defender Exploit Guard中的一个组件,为企业提供了一组内置智能,可以阻止恶意文档用于执行攻击的底层行为,而不影响产品操作。通过阻止独立于威胁或漏洞的恶意行为,攻击面减少可以保护企业免受前所未见的零日攻击,例如最近发现的漏洞:CVE-2017-8759、CVE-2017-11292和CVE-2017-11826。 对于Office应用程序,攻击面减少可以:
- 阻止Office应用程序创建可执行内容
- 阻止Office应用程序启动子进程
- 阻止Office应用程序注入进程
- 阻止从Office中的宏代码导入Win32
- 阻止混淆的宏代码
新兴的利用手段如DDEDownloader使用Office文档中的动态数据交换弹出窗口来运行PowerShell下载器;然而,这样做会启动子进程,而相应的子进程规则会阻止它。 Windows Defender Exploit Guard可与Windows Defender高级威胁防护结合使用,以调查和响应企业级安全风险和问题。要了解更多关于Windows Defender Exploit Guard和Windows Defender ATP的信息,请参阅:
- Windows Defender Exploit Guard
- Windows Defender高级威胁防护
- 注册Windows Defender ATP免费试用
- Windows Defender Exploit Guard:减少针对下一代恶意软件的受攻击面
微软正在进一步研究此问题,并将在信息可用时在本文中发布更多信息。
其他建议措施
- 保护您的计算机 我们继续鼓励客户遵循我们的“保护您的计算机”指南,即启用防火墙、获取软件更新和安装防病毒软件。有关更多信息,请参阅Microsoft安全与保障中心。
- 保持Microsoft软件更新 运行Microsoft软件的用户应应用最新的Microsoft安全更新,以确保其计算机得到尽可能的保护。如果您不确定软件是否是最新的,请访问Microsoft Update,扫描计算机以查找可用更新,并安装提供的任何高优先级更新。如果您启用了自动更新并配置为为Microsoft产品提供更新,则更新在发布时会交付给您,但您应验证它们是否已安装。
其他信息
免责声明
本公告中提供的信息“按原样”提供,不作任何保证。Microsoft否认所有明示或暗示的保证,包括适销性和特定用途适用性的保证。在任何情况下,Microsoft Corporation或其供应商均不对任何损害承担责任,包括直接、间接、附带、后果性、商业利润损失或特殊损害,即使Microsoft Corporation或其供应商已被告知可能发生此类损害。有些州不允许排除或限制附带或后果性损害的责任,因此上述限制可能不适用。
修订版本
- V1.0 (2017年11月8日): 公告发布。
- V1.1 (2017年11月30日): 更新了Windows 10 Fall Creators Update部分,提供了更多关于攻击面减少规则的信息。这仅为信息性更改。
- V2.0 (2017年12月12日): 微软发布了适用于所有受支持版本Microsoft Word的更新,允许用户根据其环境设置DDE协议的功能。有关更多信息并下载更新,请参阅ADV170021。
- V3.0 (2018年1月9日): 微软发布了适用于所有受支持版本Microsoft Excel的更新,允许用户根据其环境设置DDE协议的功能。有关更多信息并下载更新,请参阅ADV170021。