Soluzione alla vulnerabilità in DDE nelle applicazioni di Microsoft Office.

In questa sezione del forum si parla di sicurezza, soluzioni antivirus, firewall, problematiche relative a malware in generale

Moderatore: Staff forum IlSoftware.it

Avatar utente
[Claudio]
Advanced Software
Advanced Software
Messaggi: 2544
Iscritto il: 12 giu 2009 10:09
Località: 45° 44' 54'' N; 7° 21' 22'' E

Soluzione alla vulnerabilità in DDE nelle applicazioni di Microsoft Office.

Messaggioda [Claudio] » 23 ott 2017 08:25

Nei giorni scorsi, i ricercatori di SANS ISC InfoSec hanno individuato una campagna phishing, veicolata tramite una rete botnet, che sfrutta la vulnerabilità DDE di Microsoft Word per installare il ransomware Locky.

Gli stessi ricercatori hanno individuato un altra campagna similare, usata per veicolare il malware Hancitor, un malware banking con funzionalità di ransomware (anche questo, veicolato tramite campagne di phishing, sfruttando la vulnerabilità DDE).

Visto che la funzionalità DDE è legittima e, per questo motivo, Microsoft ha dichiarato che non rilascerà patch correttive, è possibile mettersi al riparo, seguendo le istruzioni contenute nel seguente articolo:

Martin Brinkmann (Blog Ghacks): Disable Office DDEAUTO to mitigate attacks:

Disable DDEAuto is a Registry file that is maintained on GitHub that disables the "update links" and "embedded files" functionality in Office documents when run.


Il file di registro, creato da @Will Dormann, è disponibile per il download, su Github

Altre info: articolo di Michele (sul Sito): La funzione DDEAUTO di Office permette di eseguire codice potenzialmente dannoso

Nuovo articolo di Michele (sul Sito): La funzione DDE può essere utilizzata per eseguire codice nocivo aprendo le email da Outlook
Ultima modifica di [Claudio] il 24 ott 2017 12:12, modificato 4 volte in totale.
PC Desktop: Windows 10 Enterprise N 2016 LTSB
HitmanPro.Alert 3.6 HitmanPro Malwarebytes Antimalware ProtonVPN Chrome & Tor Browser

boldrake80
Beginner Software
Beginner Software
Messaggi: 13
Iscritto il: 19 ago 2016 22:41

Re: Soluzione alla vulnerabilità in DDE nelle applicazioni di Microsoft Office.

Messaggioda boldrake80 » 23 ott 2017 09:56

Grazie, :D

Avatar utente
mary7
Junior Software
Junior Software
Messaggi: 129
Iscritto il: 25 apr 2016 11:49

Re: Soluzione alla vulnerabilità in DDE nelle applicazioni di Microsoft Office.

Messaggioda mary7 » 24 ott 2017 09:46

grazie per il post, volevo chiedere io ho Office 2016 e ho tolto sia da Word che da Excel il segno di spunta da "Update automatic links at open" come nell articolo, basta questo o devo anche impostare i valori di registro?

Avatar utente
[Claudio]
Advanced Software
Advanced Software
Messaggi: 2544
Iscritto il: 12 giu 2009 10:09
Località: 45° 44' 54'' N; 7° 21' 22'' E

Re: Soluzione alla vulnerabilità in DDE nelle applicazioni di Microsoft Office.

Messaggioda [Claudio] » 24 ott 2017 10:15

Bastava dare una occhiata alla struttura del file REG .... si evince che non basta (oltre a Word e Excel sono interessati al problema anche OneNote e Outlook).

Inoltre .... articolo di Martin:

Disable DDEAuto is a Registry file that is maintained on GitHub that disables the "update links" and "embedded files" functionality in Office documents when run.
It covers Word, Excel, WordMail, OneNote and Excel, and writes or edits Registry keys to add the protection. Note that you can enable the protection manually as well in Office (which sets the Registry keys to the values of the Registry file).

Quindi, esegui il file REG.
PC Desktop: Windows 10 Enterprise N 2016 LTSB
HitmanPro.Alert 3.6 HitmanPro Malwarebytes Antimalware ProtonVPN Chrome & Tor Browser

Avatar utente
mary7
Junior Software
Junior Software
Messaggi: 129
Iscritto il: 25 apr 2016 11:49

Re: Soluzione alla vulnerabilità in DDE nelle applicazioni di Microsoft Office.

Messaggioda mary7 » 24 ott 2017 10:36

quindi sulla pagina devo cliccare download zip, estrarre il file reg e poi dare esegui? non ho mai aggiunto file reg

HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Options\WordMail da me nonn esiste (forse perchè non ho Outlook?) devo crearla?

one note e outlook non li ho, ho power point, access e publisher

Avatar utente
[Claudio]
Advanced Software
Advanced Software
Messaggi: 2544
Iscritto il: 12 giu 2009 10:09
Località: 45° 44' 54'' N; 7° 21' 22'' E

Re: Soluzione alla vulnerabilità in DDE nelle applicazioni di Microsoft Office.

Messaggioda [Claudio] » 24 ott 2017 11:30

mary7 ha scritto:quindi sulla pagina devo cliccare download zip, estrarre il file reg e poi dare esegui?

Estrai l'archivio, click sul file REG, ti chiederà di autorizzare l'aggiunta delle informazioni al registro, confermi con OK.
PC Desktop: Windows 10 Enterprise N 2016 LTSB
HitmanPro.Alert 3.6 HitmanPro Malwarebytes Antimalware ProtonVPN Chrome & Tor Browser

Avatar utente
mary7
Junior Software
Junior Software
Messaggi: 129
Iscritto il: 25 apr 2016 11:49

Re: Soluzione alla vulnerabilità in DDE nelle applicazioni di Microsoft Office.

Messaggioda mary7 » 24 ott 2017 11:39

ok grazie mille

Avatar utente
[Claudio]
Advanced Software
Advanced Software
Messaggi: 2544
Iscritto il: 12 giu 2009 10:09
Località: 45° 44' 54'' N; 7° 21' 22'' E

Re: Soluzione alla vulnerabilità in DDE nelle applicazioni di Microsoft Office.

Messaggioda [Claudio] » 24 ott 2017 12:14

Aggiunto, a titolo di informazione, al post principale:

Nuovo articolo di Michele (sul Sito): La funzione DDE può essere utilizzata per eseguire codice nocivo aprendo le email da Outlook
PC Desktop: Windows 10 Enterprise N 2016 LTSB
HitmanPro.Alert 3.6 HitmanPro Malwarebytes Antimalware ProtonVPN Chrome & Tor Browser