В Word отключили функцию, через которую с 1990-х распространялись трояны

Стратегия безопасности Пользователю Техника
мобильная версия
, Текст: Роман Георгиев
Microsoft выпустила обновления для Word, принудительно отключающего старую функцию Dynamic Data Exchange (DDE) с целью повышения безопасности пакета. В 2017 г. стало известно, что ее можно использовать для распространения новейшего вредоносного ПО.

Устаревшая функция DDE

Корпорация Microsoft с помощью новейшего обновления удалила функцию Dynamic Data Exchange (DDE) из Word. Старая функция, предназначавшаяся для интеграции в .doc-файлы объектов из других приложений Office, давно заменена на инструменты Object Linking and Embedding (OLE), однако до сих пор поддержка DDE сохранялась для того, чтобы можно было открывать старые документы.

Еще в 1990-е годы DDE использовалась для распространения вредоносного софта, однако меры безопасности, принятые с тех пор, снизили угрозу.

Но в октябре 2017 г. исследователи компании SensePost опубликовали целый «учебник», описывающий, как DDE можно по-новому использовать для распространения вредоносного ПО. Эти инструкции очень быстро задействовали всевозможные киберпреступники - сначала группировка FIN7, занимающаяся атаками на финансовые организации, а затем и игроки поменьше.

Угроза или не угроза

Microsoft долго отказывалась рассматривать DDE как уязвимость, поскольку, во-первых, считала функцию все еще полезной, а во-вторых, - Word показывает предупреждения перед открытием файлов. Но, во-первых, пользователи часто не внимают предупреждениям, а во-вторых, хакеры научились эксплуатировать эти предупреждения в свою пользу.

Предупреждение о возможной атаке при использовании функции DDE в MS Word

По мере того, как атаки стали учащаться, специалисты по безопасности Microsoft решили все-таки ликвидировать DDE. В середине октября 2017 г. был выпущен бюллетень с рекомендациями по отключению этой функции, а в минувший вторник вышло обновление, нейтрализующее DDE на уровне системного реестра. Соответствующий ключ располагается по адресу \HKEY_CURRENT_USER\Software\Microsoft\Office\version\Word\Security AllowDDE(DWORD). Значение AllowDDE(DWORD) = 0 (теперь выставленное по умолчанию) деактивирует DDE, значение AllowDDE(DWORD) = 1 позволяет его вернуть, если в этом есть необходимость.

DDE отключена даже в версиях Word 2003 и Word 2007, хотя их официальная поддержка давно прекратилась.

В Excel и Outlook эта функция пока сохраняется, хотя и там ее можно отключить вручную.