Microsoft опубликовала рекомендации по защите от DDE-атак

Microsoft опубликовала рекомендации по защите от кибератак с использованием протокола Dynamic Data Exchange (DDE).

Протокол DDE предназначен для обмена данными между Office и другими приложениями Windows. В октябре нынешнего года исследователи предупредили, что особенности работы протокола DDE могут быть проэксплуатированы хакерами для создания документов, загружающих вредоносное ПО со стороннего сервера. Данный метод может использоваться в качестве замены макросам в атаках с использованием документов.

Уязвимость в протоколе DDE эксплуатировалась множеством различных хакерских группировок, в том числе в ходе кампаний по распространению вымогательского ПО Locky.

В рекомендациях Microsoft подчеркнула, что DDE является легитимной функцией и предложила пользователям соблюдать определенные меры предосторожности для защиты от атак. В частности, для успешной атаки злоумышленникам необходимо убедить жертву отключить безопасный режим и подтвердить открытие вредоносных файлов в нескольких всплывающих окнах.

Помимо этого, Microsoft заявила, что пользователи Office могут также включить определенные ключи реестра, повышающие безопасность, в том числе ключ, отключающий автоматическое обновление данных из связанных полей.

Компания предоставила подробную информацию об отключении автоматических обновлений ссылок в Excel, Outlook, Publisher и Word путем установки определенных ключей реестра. Отключение данной функции может повлиять на функционал, использующий DDE, и пользователям может потребоваться вручную обновить поля.

В обновлении Windows 10 Fall Creators Update пользователи защищены от DDE-атак с помощью функции Attack Surface Reduction (ASR), добавленной в Windows Defender Exploit Guard.

Microsoft также рекомендует пользователям быть осторожными при открытии подозрительных вложений в электронных письмах, поскольку вредоносные документы, эксплуатирующие DDE, обычно доставляются по электронной почте.

Напомним, ранее исследователи безопасности из компании Sophos Labs сообщили о возможности эксплуатации критической уязвимости в протоколе Dynamic Data Exchange через почтовый клиент Microsoft Outlook.

DDE (Dynamic Data Exchange - динамический обмен данными) представляет собой коммуникационный протокол, разработанный компанией Microsoft для обмена данными между различными Windows-приложениями и их синхронизации.