Microsoft рассказала, как заблокировать опасную функцию Microsoft Office

[alexsf]

Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

                     
Microsoft You are not allowed to view links. Register or Login по защите своих офисных программ от атак через обмен данными между приложениями (Dynamic Data Exchange, DDE). Несмотря на растущее число угроз на базе этой функции, корпорация по-прежнему не признает ее уязвимостью, пишет You are not allowed to view links. Register or Login.

Протокол DDE используется для обмена информацией между программами пакета Microsoft Office, которые используют общие данные или общую память. Это позволяет, например, динамически обновлять Excel-таблицы, в том числе встроенные в документы других программ. С другой стороны, преступники используют в недобросовестных целях возможность прямо в интерфейсе Office-приложения вызвать командную строку или выполнить сторонний код.

Впервые о проблемах с DDE заговорили еще в 1990-х, когда протокол только был представлен пользователям. Легитимный характер этой функции позволяет злоумышленникам обходить многие защитные системы. Пользователи сами запускают зловред, когда соглашаются обновить связи в зараженном документе. Тот факт, что стандартное диалоговое окно может запускать неизвестный код, большинству из них неизвестен.

Продвинутые пользователи могут отключить DDE через реестр — в рекомендациях приводятся соответствующие строки.

Авторы рекомендаций отдельно остановились на обновлении Windows 10 Fall Creator Update, которое содержит инструменты для блокирования DDE-зловредов с помощью уменьшения площади атак (Attack Surface Reduction, ASR). Функции ASR обеспечивают блокирование выполнения кода, проведения инжектов, запуска дочерних процессов и макросов.

You are not allowed to view links. Register or Login